২০ লক্ষ ডলারের মুক্তিপণ এবং একটি ক্রিপ্টো নিরাপত্তা আতঙ্ক — Vercel হ্যাকের ভেতরের কাহিনী

সংক্ষিপ্ত বিবরণ

• Vercel একটি তৃতীয় পক্ষের AI টুল Context.ai এর মাধ্যমে আপোসকৃত হয়ে অভ্যন্তরীণ সিস্টেমে অননুমোদিত প্রবেশাধিকার নিশ্চিত করেছে
• BreachForums এ একজন হ্যাকার চুরি করা Vercel ডেটা $২ মিলিয়নে বিক্রয়ের প্রস্তাব দিচ্ছে, যার মধ্যে API কী এবং সোর্স কোড রয়েছে
• অনেক Web3 প্রকল্প Vercel এ ওয়ালেট ইন্টারফেস এবং অ্যাপ ফ্রন্টএন্ড হোস্ট করে, যা এক্সপোজার উদ্বেগ বাড়াচ্ছে
• Solana DEX Orca সতর্কতামূলক ব্যবস্থা হিসেবে সমস্ত ডিপ্লয়মেন্ট ক্রেডেনশিয়াল রোটেট করেছে; এর অন-চেইন তহবিল প্রভাবিত হয়নি
• Vercel বলছে "সংবেদনশীল" এনভায়রনমেন্ট ভেরিয়েবল এনক্রিপ্ট করা ছিল এবং অ্যাক্সেস করার কোনো প্রমাণ নেই

ওয়েব ইনফ্রাস্ট্রাকচার কোম্পানি Vercel রবিবার একটি নিরাপত্তা লঙ্ঘন নিশ্চিত করেছে যখন আক্রমণকারীরা এর অভ্যন্তরীণ সিস্টেমের কিছু অংশে অননুমোদিত প্রবেশাধিকার লাভ করেছিল। কোম্পানিটি জানিয়েছে যে সীমিত সংখ্যক গ্রাহক প্রভাবিত হয়েছে এবং এর সেবাগুলি চালু রয়েছে।

লঙ্ঘনটি একজন Vercel কর্মচারীর অ্যাকাউন্টের মাধ্যমে শুরু হয়েছিল। সেই অ্যাকাউন্টটি Context.ai এর মাধ্যমে আপোসকৃত হয়েছিল, একটি তৃতীয় পক্ষের AI টুল যা কর্মচারী ব্যবহার করতেন। সেখান থেকে আক্রমণকারীরা কর্মচারীর Google Workspace অ্যাকাউন্টের মাধ্যমে এবং Vercel এর অভ্যন্তরীণ পরিবেশে প্রবেশ করেছিল।

Vercel CEO Guillermo Rauch আক্রমণকারীদের "অত্যন্ত পরিশীলিত" হিসেবে বর্ণনা করেছেন এবং বলেছেন তারা দ্রুততার সাথে এবং Vercel এর সিস্টেম সম্পর্কে গভীর জ্ঞান নিয়ে কাজ করেছে। তিনি যোগ করেছেন যে তিনি সন্দেহ করছেন AI আক্রমণকারীদের দ্রুত এগিয়ে যেতে সাহায্য করেছে।

Rauch নিশ্চিত করেছেন যে সমস্ত গ্রাহক এনভায়রনমেন্ট ভেরিয়েবল এনক্রিপ্ট করে সংরক্ষণ করা হয়েছে। তবে, "সংবেদনশীল" হিসেবে চিহ্নিত না করা ভেরিয়েবলগুলি আক্রমণকারীর দ্বারা গণনা করা যেতে পারে। তিনি গ্রাহকদের তাদের এনভায়রনমেন্ট ভেরিয়েবল পর্যালোচনা করার এবং সংবেদনশীল হিসেবে চিহ্নিত না করা যেকোনো ভেরিয়েবল রোটেট করার সুপারিশ করেছেন।

সাইবার ক্রাইম ফোরাম BreachForums এ একটি পোস্ট, ShinyHunters নামের একটি গ্রুপের সাথে সংযুক্ত, দাবি করেছে Vercel ডেটা $২ মিলিয়নে বিক্রয় করছে। তালিকায় অ্যাক্সেস কী, সোর্স কোড, ডাটাবেস রেকর্ড এবং অভ্যন্তরীণ ডিপ্লয়মেন্ট টোকেন অন্তর্ভুক্ত ছিল। এই দাবিগুলি স্বাধীনভাবে যাচাই করা হয়নি। ShinyHunters গ্রুপের সাথে সম্পর্কিত সদস্যরা জড়িত থাকা অস্বীকার করেছে।

কেন ক্রিপ্টো প্রকল্পগুলি সতর্ক

Vercel Web3 স্পেস জুড়ে ব্যাপকভাবে ব্যবহৃত হয়। বিকেন্দ্রীভূত অ্যাপ, ওয়ালেট ইন্টারফেস এবং DEX ফ্রন্টএন্ড তৈরির দলগুলি নিয়মিতভাবে Vercel এ হোস্ট করে এবং এনভায়রনমেন্ট ভেরিয়েবলে ক্রেডেনশিয়াল সংরক্ষণ করে। এই স্তরে একটি লঙ্ঘন ফ্রন্টএন্ডকে ব্লকচেইন ডেটা প্রদানকারী এবং ব্যাকএন্ড সেবাগুলির সাথে সংযোগকারী API কীগুলি প্রকাশ করতে পারে।

Solana-ভিত্তিক বিকেন্দ্রীভূত এক্সচেঞ্জ Orca নিশ্চিত করেছে যে এর ফ্রন্টএন্ড Vercel এ চলে। প্রকল্পটি জানিয়েছে যে এটি সতর্কতামূলক ব্যবস্থা হিসেবে সমস্ত ডিপ্লয়মেন্ট ক্রেডেনশিয়াল রোটেট করেছে এবং এর অন-চেইন প্রোটোকল এবং ব্যবহারকারীর তহবিল ঝুঁকিতে ছিল না।

সফটওয়্যার কমিউনিটিতে ব্যাপকভাবে অনুসরণ করা ডেভেলপার Theo Browne বলেছেন যে তার সূত্রগুলি Vercel এর অভ্যন্তরীণ Linear এবং GitHub ইন্টিগ্রেশনকে সবচেয়ে বেশি প্রভাবিত সিস্টেম হিসেবে নির্দেশ করেছে।

Google এর Mandiant টিম Vercel কে তদন্তে সহায়তা করছে। Vercel জানিয়েছে যে এটি লঙ্ঘনের সম্পূর্ণ পরিধি নির্ধারণে সহায়তা করতে Context.ai এর সাথেও যোগাযোগ করেছে।

এপ্রিল ক্রিপ্টো নিরাপত্তার জন্য কঠিন মাস হয়েছে

Vercel লঙ্ঘনটি শিল্পের জন্য একটি কঠিন সময়ের মধ্যে এসেছে। Kelp DAO এর rsETH টোকেনের $২৯২ মিলিয়ন শোষণ Aave সহ DeFi ঋণ প্ল্যাটফর্মগুলি জুড়ে ব্যাপক বিঘ্ন ঘটিয়েছে।

এপ্রিলের শুরুতে, Solana-ভিত্তিক পার্পেচুয়ালস প্রোটোকল Drift একটি আক্রমণে প্রায় $২৮৫ মিলিয়ন নিষ্কাশিত হয়েছিল যা পরে উত্তর কোরিয়া-সংশ্লিষ্ট অভিনেতাদের সাথে সংযুক্ত ছিল।

এই মাসে আক্রান্ত অন্যান্য প্রোটোকলের মধ্যে রয়েছে CoW Swap, Zerion, Rhea Finance এবং Silo Finance।

Vercel জানিয়েছে যে এর তদন্ত চলমান এবং আরও তথ্য পাওয়ার সাথে সাথে এটি তার নিরাপত্তা বুলেটিন আপডেট করবে। প্রকাশের সময় পর্যন্ত কোনো প্রধান ক্রিপ্টো প্রকল্প প্রকাশ্যে নিশ্চিত করেনি যে লঙ্ঘন সম্পর্কে Vercel তাদের সাথে যোগাযোগ করেছে।

পোস্ট A $2 Million Ransom and a Crypto Security Scare — Inside the Vercel Hack প্রথম প্রকাশিত হয়েছে CoinCentral এ।