Порушення безпеки Vercel: хакер вимагає $2M, поки криптопроєкти поспішають захистити ключі

Ключові висновки

• Інцидент безпеки у Vercel виник внаслідок компрометації облікового запису співробітника через Context.ai, сторонній ШІ-сервіс
• Кіберзлочинці на BreachForums намагаються продати нібито дані Vercel за викуп у 2 мільйони доларів, стверджуючи про доступ до API-ключів та власного коду
• Web3-платформи, які покладаються на Vercel для хостингу інтерфейсів гаманців та децентралізованих додатків, стикаються з потенційним розголошенням облікових даних
• Orca, біржа на базі Solana, проактивно оновила всі ключі розгортання, підтвердивши при цьому безпеку активів у блокчейні
• Згідно з Vercel, змінні середовища, позначені як "чутливі", були захищені шифруванням без ознак несанкціонованого доступу

Vercel, відомий провайдер веб-хостингу та інфраструктури, визнав інцидент кібербезпеки у неділю після несанкціонованого проникнення в частини своєї внутрішньої мережі. Компанія повідомила, що невелика частина клієнтів зазнала впливу, тоді як основні сервіси платформи продовжували функціонувати нормально.

Атака почалася через обліковий запис співробітника Vercel. Хакери скомпрометували цей обліковий запис, використовуючи Context.ai, зовнішній додаток штучного інтелекту, який інтегрував працівник. Зловмисники потім перейшли через доступ співробітника до Google Workspace, щоб проникнути у внутрішню інфраструктуру Vercel.

Генеральний директор Гільєрмо Раух охарактеризував зловмисників як "винятково досвідчених", зазначивши їхні швидкі дії та очевидне глибоке знайомство з архітектурою Vercel. Раух припустив, що інструменти штучного інтелекту могли прискорити операційний темп атакувальників.

Раух підтвердив, що всі змінні середовища клієнтів проходять шифрування під час зберігання. Проте змінні, не позначені як "чутливі", потенційно були доступні для перерахування зловмисниками. Він порадив клієнтам перевірити конфігурації своїх середовищ та оновити будь-які облікові дані, яким бракувало позначення чутливості.

Оголошення на кіберзлочинному ринку BreachForums, приписане колективу ShinyHunters, рекламувало нібито інформацію Vercel за 2 мільйони доларів. Рекламований кеш нібито містить ключі автентифікації, власний вихідний код, записи бази даних та внутрішні облікові дані розгортання. Ці твердження залишаються непідтвердженими через незалежний аналіз. Особи, пов'язані з ShinyHunters, публічно заперечили будь-який зв'язок з інцидентом.

Наслідки для безпеки Web3

Vercel служить критичною інфраструктурою в усій екосистемі Web3. Команди розробників, які створюють децентралізовані додатки, інтерфейси криптовалютних гаманців та інтерфейси децентралізованих бірж, зазвичай використовують платформу Vercel та зберігають чутливі облікові дані в змінних середовища. Компрометація на цьому рівні інфраструктури потенційно може розкрити токени автентифікації API, які з'єднують інтерфейси з сервісами даних блокчейну та backend-системами.

Децентралізована торгова платформа Orca на базі Solana підтвердила, що її користувацький інтерфейс працює на інфраструктурі Vercel. Організація оголосила про запобіжну ротацію всіх облікових даних автентифікації розгортання, підкресливши, що її рівень протоколу блокчейну та активи клієнтів не зазнали впливу.

Розробник програмного забезпечення Тео Браун, який має значний вплив у спільноті розробників, повідомив, що інформація з його джерел визначила внутрішні інтеграції управління проєктами Linear та репозиторію GitHub у Vercel як основні скомпрометовані системи.

Підрозділ кібербезпеки Mandiant компанії Google співпрацює з Vercel у криміналістичному розслідуванні. Представники Vercel підтвердили, що вони розпочали контакт з Context.ai для встановлення повного обсягу компрометації безпеки.

Важкий місяць для безпеки криптовалют

Цей інцидент з Vercel настає серед особливо турбулентного періоду для індустрії цифрових активів. Руйнівна експлуатація токена rsETH від Kelp DAO на 292 мільйони доларів спричинила каскадні ефекти по всіх екосистемах децентралізованого фінансового кредитування, помітно вплинувши на Aave.

Раніше у квітні платформа деривативів Drift на базі Solana зазнала приблизно 285 мільйонів доларів збитків через атаку, яку згодом приписали хакерським групам, спонсорованим Північною Кореєю.

Додаткові протоколи, які зазнали порушень безпеки цього місяця, включають CoW Swap, Zerion, Rhea Finance та Silo Finance.

Vercel заявив, що його розслідування безпеки залишається активним і зобов'язався публікувати оновлення до свого консультативного повідомлення про безпеку в міру появи додаткових висновків. Жоден помітний криптовалютний проєкт не визнав публічно отримання прямого повідомлення від Vercel щодо порушення на момент цього звіту.

Допис "Порушення безпеки Vercel: хакер вимагає 2 мільйони доларів, оскільки криптопроєкти поспішають захистити ключі" вперше з'явився на Blockonomi.