O breșă de securitate la furnizorul de infrastructură web Vercel forțează echipele crypto să rotească cheile API și să efectueze o inspecție amănunțită a codului lor subiacent.
Într-un buletin, Vercel a declarat că hackerul a reușit să obțină setări din culise care nu erau blocate, expunând potențial cheile API - credentialele digitale pe care aplicațiile le folosesc pentru a se conecta la alte servicii. Aceste credentiale acționează ca parole digitale, permițând software-ului să se conecteze la baze de date, portofele crypto și servicii externe. În mâinile greșite, ele pot fi folosite pentru a se da drept o aplicație, a depăși limitele de utilizare sau a manipula modul în care aceasta rulează.
O postare pe forumul de criminalitate cibernetică BreachForums a afirmat că vinde date Vercel pentru 2 milioane de dolari, inclusiv chei de acces și cod sursă, deși aceste afirmații nu au fost verificate independent. Vercel a declarat că a angajat firme de răspuns la incidente și forțele de ordine și continuă să investigheze dacă au fost exfiltrate date.
Compania a urmărit intruziunea până la Context.ai, un instrument AI terță parte folosit de un angajat, a declarat CEO-ul său într-o postare X, unde o conexiune Google Workspace compromisă a permis atacatorilor să escaladeze accesul în mediile interne ale Vercel. Vercel a declarat că variabilele de mediu marcate ca „sensibile” sunt stocate într-un mod care le împiedică să fie citite și că nu există dovezi că au fost accesate.
Incidentul atrage atenția deoarece Vercel stă la baza infrastructurii frontend pentru multe aplicații crypto și este administratorul principal al Next.js, unul dintre cele mai utilizate framework-uri de dezvoltare web. Multe echipe Web3 găzduiesc interfețe de portofel și tablouri de bord ale aplicațiilor descentralizate pe Vercel, bazându-se pe variabile de mediu pentru a stoca credentialele care conectează frontends-urile lor la furnizorii de date blockchain și la serviciile backend.
Schimbul descentralizat Orca, bazat pe Solana, a declarat că frontend-ul său este găzduit pe Vercel și că a rotit toate credentialele de implementare ca măsură de precauție. Proiectul a adăugat că protocolul său on-chain și fondurile utilizatorilor nu au fost afectate.