Vercel নিরাপত্তা লঙ্ঘন: হ্যাকার $2M দাবি করছে যখন ক্রিপ্টো প্রকল্পগুলো কীগুলো সুরক্ষিত করতে তৎপর

মূল বিষয়সমূহ

• Vercel-এ একটি নিরাপত্তা ঘটনা Context.ai নামক তৃতীয় পক্ষের AI সেবার মাধ্যমে একটি আপোসকৃত কর্মচারী অ্যাকাউন্ট থেকে উদ্ভূত হয়েছে
• BreachForums-এ সাইবার অপরাধীরা API কী এবং মালিকানাধীন কোডে প্রবেশাধিকার দাবি করে $2 মিলিয়ন মুক্তিপণের বিনিময়ে Vercel-এর কথিত ডেটা বিক্রির চেষ্টা করছে
• Web3 প্ল্যাটফর্মগুলি যেগুলি ওয়ালেট ফ্রন্টএন্ড এবং বিকেন্দ্রীকৃত অ্যাপ্লিকেশন হোস্টিংয়ের জন্য Vercel-এর উপর নির্ভর করে তারা সম্ভাব্য শংসাপত্র প্রকাশের ঝুঁকিতে রয়েছে
• Orca, একটি Solana-ভিত্তিক এক্সচেঞ্জ, সক্রিয়ভাবে সমস্ত ডিপ্লয়মেন্ট কী রিফ্রেশ করেছে এবং নিশ্চিত করেছে যে ব্লকচেইন সম্পদ সুরক্ষিত রয়েছে
• Vercel-এর মতে, "sensitive" হিসেবে চিহ্নিত এনভায়রনমেন্ট ভেরিয়েবলগুলি এনক্রিপশন দ্বারা সুরক্ষিত ছিল এবং অননুমোদিত প্রবেশাধিকারের কোনো চিহ্ন পাওয়া যায়নি

Vercel, একটি বিশিষ্ট ওয়েব হোস্টিং এবং অবকাঠামো প্রদানকারী, রবিবার তার অভ্যন্তরীণ নেটওয়ার্কের কিছু অংশে অননুমোদিত অনুপ্রবেশের পরে একটি সাইবার নিরাপত্তা ঘটনা স্বীকার করেছে। প্রতিষ্ঠানটি জানিয়েছে যে মূল প্ল্যাটফর্ম সেবাগুলি স্বাভাবিকভাবে কাজ চালিয়ে যাওয়ার সময় ক্লায়েন্টদের একটি ছোট অংশ প্রভাবিত হয়েছে।

আক্রমণটি Vercel-এর একটি কর্মচারী অ্যাকাউন্টের মাধ্যমে শুরু হয়েছিল। হ্যাকাররা Context.ai, একটি বাহ্যিক কৃত্রিম বুদ্ধিমত্তা অ্যাপ্লিকেশন যা কর্মচারী ইন্টিগ্রেট করেছিলেন, তা শোষণ করে এই অ্যাকাউন্টটি আপস করেছে। অনুপ্রবেশকারীরা তারপর কর্মচারীর Google Workspace প্রবেশাধিকারের মাধ্যমে Vercel-এর অভ্যন্তরীণ অবকাঠামোতে প্রবেশ করেছে।

CEO Guillermo Rauch হুমকি সৃষ্টিকারীদের "ব্যতিক্রমীভাবে পরিশীলিত" হিসেবে বর্ণনা করেছেন, তাদের দ্রুত চলাচল এবং Vercel-এর আর্কিটেকচারের সাথে স্পষ্ট ঘনিষ্ঠ পরিচিতির উল্লেখ করেছেন। Rauch অনুমান করেছেন যে কৃত্রিম বুদ্ধিমত্তা সরঞ্জামগুলি আক্রমণকারীদের অপারেশনাল গতি ত্বরান্বিত করতে পারে।

Rauch যাচাই করেছেন যে সমস্ত গ্রাহক এনভায়রনমেন্ট ভেরিয়েবল সংরক্ষণের সময় এনক্রিপশনের মধ্য দিয়ে যায়। তবুও, "sensitive" হিসেবে মনোনীত নয় এমন ভেরিয়েবলগুলি সম্ভাব্যভাবে অনুপ্রবেশকারীদের দ্বারা গণনার জন্য অ্যাক্সেসযোগ্য ছিল। তিনি গ্রাহকদের তাদের এনভায়রনমেন্ট কনফিগারেশন অডিট করতে এবং sensitive মনোনয়নের অভাবযুক্ত যেকোনো শংসাপত্র রিফ্রেশ করার পরামর্শ দিয়েছেন।

BreachForums সাইবার অপরাধ মার্কেটপ্লেসে ShinyHunters সমষ্টির জন্য দায়ী করা একটি তালিকা $2 মিলিয়ন এর বিনিময়ে Vercel-এর কথিত তথ্য বিজ্ঞাপিত করেছে। বিজ্ঞাপিত ক্যাশে কথিতভাবে প্রমাণীকরণ কী, মালিকানাধীন সোর্স কোড, ডেটাবেস এন্ট্রি এবং অভ্যন্তরীণ ডিপ্লয়মেন্ট শংসাপত্র রয়েছে। এই দাবিগুলি স্বাধীন বিশ্লেষণের মাধ্যমে অনিশ্চিত থাকে। ShinyHunters-এর সাথে সম্পর্কিত ব্যক্তিরা প্রকাশ্যে ঘটনার সাথে কোনো সংযোগ অস্বীকার করেছেন।

Web3 নিরাপত্তা প্রভাব

Vercel সমগ্র Web3 ইকোসিস্টেম জুড়ে গুরুত্বপূর্ণ অবকাঠামো হিসেবে কাজ করে। বিকেন্দ্রীকৃত অ্যাপ্লিকেশন, ক্রিপ্টোকারেন্সি ওয়ালেট ইন্টারফেস এবং বিকেন্দ্রীকৃত এক্সচেঞ্জ ফ্রন্ট-এন্ড নির্মাণকারী ডেভেলপমেন্ট টিমগুলি সাধারণত Vercel-এর প্ল্যাটফর্ম ব্যবহার করে এবং এনভায়রনমেন্ট ভেরিয়েবলের মধ্যে সংবেদনশীল শংসাপত্র বজায় রাখে। এই অবকাঠামো স্তরে একটি আপস সম্ভাব্যভাবে API প্রমাণীকরণ টোকেন প্রকাশ করতে পারে যা ফ্রন্ট-এন্ড ইন্টারফেসকে ব্লকচেইন ডেটা সেবা এবং ব্যাকএন্ড সিস্টেমের সাথে সংযুক্ত করে।

Solana-চালিত বিকেন্দ্রীকৃত ট্রেডিং প্ল্যাটফর্ম Orca যাচাই করেছে যে এর ইউজার ইন্টারফেস Vercel অবকাঠামোতে কাজ করে। সংস্থাটি সমস্ত ডিপ্লয়মেন্ট প্রমাণীকরণ শংসাপত্রের সতর্কতামূলক রোটেশন ঘোষণা করেছে, জোর দিয়ে বলেছে যে এর ব্লকচেইন প্রোটোকল স্তর এবং গ্রাহক সম্পদ কোনো প্রকাশের সম্মুখীন হয়নি।

সফটওয়্যার ডেভেলপার Theo Browne, যিনি ডেভেলপমেন্ট কমিউনিটির মধ্যে যথেষ্ট প্রভাব রাখেন, রিপোর্ট করেছেন যে তার সূত্রগুলির তথ্য Vercel-এর অভ্যন্তরীণ Linear প্রজেক্ট ম্যানেজমেন্ট এবং GitHub রিপোজিটরি ইন্টিগ্রেশনগুলিকে প্রাথমিক আপসকৃত সিস্টেম হিসেবে চিহ্নিত করেছে।

Google-এর Mandiant সাইবার নিরাপত্তা বিভাগ ফরেনসিক তদন্তে Vercel-এর সাথে সহযোগিতা করছে। Vercel প্রতিনিধিরা নিশ্চিত করেছেন যে তারা নিরাপত্তা আপসের সম্পূর্ণ মাত্রা নির্ধারণ করতে Context.ai-এর সাথে যোগাযোগ শুরু করেছে।

ক্রিপ্টোকারেন্সি নিরাপত্তার জন্য একটি চ্যালেঞ্জিং মাস

এই Vercel ঘটনাটি ডিজিটাল সম্পদ শিল্পের জন্য একটি বিশেষভাবে অশান্ত সময়ের মধ্যে এসেছে। Kelp DAO-এর rsETH টোকেনের একটি বিধ্বংসী $292 মিলিয়ন শোষণ বিকেন্দ্রীকৃত ফিনান্স ঋণ ইকোসিস্টেম জুড়ে ক্যাসকেডিং প্রভাব সৃষ্টি করেছে, বিশেষত Aave-কে প্রভাবিত করেছে।

এপ্রিলে পূর্বে, Solana-ভিত্তিক ডেরিভেটিভস প্ল্যাটফর্ম Drift একটি আক্রমণের মাধ্যমে প্রায় $285 মিলিয়ন ক্ষতির সম্মুখীন হয়েছে যা পরবর্তীতে উত্তর কোরিয়ার রাষ্ট্র-পৃষ্ঠপোষক হ্যাকিং গ্রুপের জন্য দায়ী করা হয়েছে।

এই মাসে নিরাপত্তা লঙ্ঘনের সম্মুখীন অতিরিক্ত প্রোটোকলগুলির মধ্যে রয়েছে CoW Swap, Zerion, Rhea Finance এবং Silo Finance।

Vercel জানিয়েছে যে এর নিরাপত্তা তদন্ত সক্রিয় রয়েছে এবং অতিরিক্ত অনুসন্ধান উদ্ভূত হওয়ার সাথে সাথে তার নিরাপত্তা উপদেশে আপডেট প্রকাশ করতে প্রতিশ্রুতিবদ্ধ। এই রিপোর্টের সময় কোনো বিশিষ্ট ক্রিপ্টোকারেন্সি প্রজেক্ট লঙ্ঘন সম্পর্কে Vercel থেকে সরাসরি বিজ্ঞপ্তি পাওয়ার কথা প্রকাশ্যে স্বীকার করেনি।

পোস্ট Vercel Security Breach: Hacker Demands $2M as Crypto Projects Scramble to Secure Keys প্রথম Blockonomi-তে প্রকাশিত হয়েছে।