需要了解的事项:网络基础设施提供商Vercel披露了一次安全漏洞,可能暴露了客户的API密钥,这促使加密项目更换凭证并审查其代码。Vercel将入侵追溯到通过第三方人工智能工具Context.ai的受损Google Workspace连接,但表示标记为敏感的环境变量以防止被读取的方式存储,并且没有证据表明它们被访问。此事件受到特别关注,因为许多Web3团队,包括基于Solana的交易所Orca,在Vercel上托管关键的钱包界面和仪表盘,尽管Orca表示其链上协议和用户资金并未受到影响。
Vercel的网络基础设施提供商出现漏洞,迫使加密团队更换API密钥并深入检查其底层代码。
在一份公告中,Vercel表示,黑客能够获取未锁定的幕后设置,可能暴露API密钥——应用程序用来连接其他服务的数字凭证。这些凭证的作用类似于数字密码,允许软件连接到数据库、加密钱包和外部服务。落入不法之手后,它们可以被用来冒充应用程序、消耗使用限制或操纵它的运行方式。
网络犯罪论坛BreachForums上的一条帖子声称正在以200万美元的价格出售Vercel数据,包括访问密钥和源代码,尽管这些说法尚未得到独立验证。Vercel表示已聘请事件响应公司和执法机构,并继续调查是否有数据被外泄。
该公司将入侵追溯到Context.ai,一个员工使用的第三方人工智能工具,其首席执行官在X上发布称,受损的Google Workspace连接允许攻击者提升进入Vercel内部环境的访问权限。Vercel表示,标记为“敏感”的环境变量以防止被读取的方式存储,并且没有证据表明它们被访问。
该事件受到关注,因为Vercel为许多加密应用提供前端基础设施,并且是Next.js的主要管理者,后者是最广泛使用的Web开发框架之一。许多Web3团队在Vercel上托管钱包界面和去中心化应用仪表盘,依赖环境变量存储连接其前端与区块链数据提供商和后端服务的凭证。
基于Solana的去中心化交易所Orca表示,其前端托管在Vercel上,并且已经出于预防目的更换了所有部署凭证。该项目补充说,其链上协议和用户资金并未受到影响。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
