Okup 2 milionów dolarów i strach o bezpieczeństwo kryptowalut — kulisy hacka Vercel

TLDR

• Vercel potwierdził nieautoryzowany dostęp do systemów wewnętrznych za pośrednictwem zhakowanego narzędzia AI strony trzeciej, Context.ai
• Haker na BreachForums oferuje skradzione dane Vercel za 2 miliony dolarów, w tym klucze API i kod źródłowy
• Wiele projektów Web3 hostuje interfejsy portfeli i frontendy aplikacji na Vercel, co budzi obawy dotyczące ekspozycji
• Giełda DEX Solana, Orca, jako środek ostrożności wymienił wszystkie dane uwierzytelniające wdrożenia; jej środki on-chain pozostały nienaruszone
• Vercel twierdzi, że "wrażliwe" zmienne środowiskowe były zaszyfrowane i nie ma dowodów na to, że zostały udostępnione

Firma zajmująca się infrastrukturą internetową Vercel potwierdziła w niedzielę naruszenie bezpieczeństwa po tym, jak atakujący uzyskali nieautoryzowany dostęp do części jej systemów wewnętrznych. Firma poinformowała, że dotyczy to ograniczonej liczby klientów i że jej usługi pozostają działające.

Naruszenie rozpoczęło się od konta pracownika Vercel. To konto zostało zhakowane przez Context.ai, narzędzie AI strony trzeciej, z którego korzystał pracownik. Stamtąd atakujący przeszli przez konto Google Workspace pracownika do wewnętrznych środowisk Vercel.

Dyrektor generalny Vercel, Guillermo Rauch, opisał atakujących jako "wysoce wyrafinowanych" i powiedział, że działali szybko i z głęboką znajomością systemów Vercel. Dodał, że podejrzewa, iż AI mogło pomóc atakującym działać szybciej.

Rauch potwierdził, że wszystkie zmienne środowiskowe klientów są przechowywane w postaci zaszyfrowanej. Jednak zmienne nieoznaczone jako "wrażliwe" mogły zostać wyliczone przez atakującego. Zalecił klientom przegląd ich zmiennych środowiskowych i wymianę tych, które nie zostały oznaczone jako wrażliwe.

Post na forum cyberprzestępczym BreachForums, powiązany z grupą o nazwie ShinyHunters, twierdził, że sprzedaje dane Vercel za 2 miliony dolarów. Oferta zawierała klucze dostępu, kod źródłowy, zapisy bazy danych i wewnętrzne tokeny wdrożeniowe. Te twierdzenia nie zostały niezależnie zweryfikowane. Członkowie powiązani z grupą ShinyHunters zaprzeczyli zaangażowaniu.

Dlaczego projekty kryptowalutowe są w pogotowiu

Vercel jest szeroko używany w przestrzeni Web3. Zespoły budujące zdecentralizowane aplikacje, interfejsy portfeli i frontendy DEX regularnie hostują na Vercel i przechowują dane uwierzytelniające w zmiennych środowiskowych. Naruszenie na tym poziomie mogłoby ujawnić klucze API łączące frontendy z dostawcami danych blockchain i usługami backendowymi.

Zdecentralizowana giełda oparta na Solana, Orca, potwierdziła, że jej frontend działa na Vercel. Projekt poinformował, że jako środek ostrożności wymienił wszystkie dane uwierzytelniające wdrożenia i że jego protokół on-chain oraz środki użytkowników nie są zagrożone.

Deweloper Theo Browne, szeroko śledzony w społeczności oprogramowania, powiedział, że jego źródła wskazują na wewnętrzne integracje Vercel z Linear i GitHub jako najbardziej dotknięte systemy.

Zespół Mandiant Google pomaga Vercel w śledztwie. Vercel poinformował również, że skontaktował się z Context.ai, aby pomóc określić pełny zakres naruszenia.

Kwiecień był trudnym miesiącem dla bezpieczeństwa kryptowalut

Naruszenie Vercel ma miejsce w trudnym okresie dla branży. Exploit o wartości 292 milionów dolarów tokena rsETH Kelp DAO spowodował szerokie zakłócenia na platformach pożyczkowych DeFi, w tym na Aave.

Na początku kwietnia protokół perpetuals oparty na Solana, Drift, został opróżniony z około 285 milionów dolarów w ataku później powiązanym z podmiotami powiązanymi z Koreą Północną.

Inne protokoły dotknięte w tym miesiącu to CoW Swap, Zerion, Rhea Finance i Silo Finance.

Vercel poinformował, że śledztwo jest w toku i że zaktualizuje swój biuletyn bezpieczeństwa, gdy będzie dostępnych więcej informacji. Żaden z głównych projektów kryptowalutowych nie potwierdził publicznie, że Vercel skontaktował się z nim w sprawie naruszenia, na chwilę publikacji.

Post Okup w wysokości 2 milionów dolarów i zagrożenie bezpieczeństwa kryptowalut — wewnątrz ataku na Vercel ukazał się po raz pierwszy na CoinCentral.