流行平台的安全漏洞引发加密货币开发人员采取紧急行动以保护敏感访问凭证

Web 基础设施提供商 Vercel 的漏洞迫使加密团队轮换 API 密钥并对其底层代码进行深入检查。

Vercel 在公告中表示，黑客能够获取未锁定的幕后设置，从而可能暴露 API 密钥——数字凭证应用程序用于连接其他服务。这些凭证就像数字密码一样，允许软件连接到数据库、加密钱包和外部服务。如果落入坏人之手，它们可能会被用来冒充应用程序、突破使用限制或操纵应用程序的运行方式。

网络犯罪论坛 BreachForums 上的一篇帖子声称以 200 万美元出售 Vercel 数据，包括访问密钥和源代码，但这些说法尚未得到独立证实。 Vercel 表示，它已与事件响应公司和执法部门合作，并正在继续调查是否有任何数据被泄露。

该公司首席执行官在 X 帖子中表示，该公司将此次入侵追溯到了 Context.ai，这是一名员工使用的第三方人工智能工具，其中受损的 Google Workspace 连接允许攻击者升级对 Vercel 内部环境的访问权限。 Vercel 表示，标记为“敏感”的环境变量以防止读取的方式存储，并且没有证据表明它们被访问过。

该事件正在引起密切关注，因为 Vercel 支撑着许多加密应用程序的前端基础设施，并且是 Next.js（使用最广泛的 Web 开发框架之一）的主要管理者。许多 Web3 团队在 Vercel 上托管钱包界面和去中心化应用程序仪表板，依靠环境变量来存储将其前端连接到区块链数据提供商和后端服务的凭证。

基于 Solana 的去中心化交易所 Orca 表示，其前端托管在 Vercel 上，并且已轮换所有部署凭证作为预防措施。该项目补充说，其链上协议和用户资金没有受到影响。