Vercel hat einen Sicherheitsverstoß offengelegt, der möglicherweise Kunden-API-Schlüssel offengelegt hat, was zu dringenden Anmeldeinformationsrotationen bei Kryptoprojekten führte. Der Verstoß ist auf eine kompromittierte Google Workspace-Verbindung zurückzuführen, die mit dem KI-Tool Context.ai eines Drittanbieters verknüpft ist. Vercel stellte klar, dass sensible Umgebungsvariablen sicher gespeichert werden und es keine Hinweise auf unbefugten Zugriff gibt.
Der Vorfall ist von Bedeutung, da Vercel viele Web3-Anwendungen unterstützt, darunter Wallet-Schnittstellen und Dashboards. Zahlreiche Teams im Kryptosektor, insbesondere diejenigen, die Vercel für ihre Front-End-Infrastruktur verwenden, überprüfen derzeit ihren Code auf Schwachstellen. Orca, eine in Solana ansässige Börse, bestätigte, dass sie vorsorglich alle Anmeldeinformationen für die Bereitstellung rotiert hat und versicherte den Benutzern gleichzeitig, dass ihr On-Chain-Protokoll und ihre Gelder davon unberührt bleiben.
Das Unternehmen stellte fest, dass Hacker möglicherweise auf Backend-Konfigurationen zugegriffen haben, die zur Offenlegung von API-Schlüsseln führen könnten. API-Schlüssel sind für die Verbindung von Anwendungen mit kritischen Diensten von entscheidender Bedeutung. Ein Forum für Cyberkriminelle behauptete, Vercel-Daten, einschließlich Zugangsschlüssel und Quellcode, für 2 Millionen US-Dollar anzubieten. Vercel hat die Echtheit dieser Behauptungen jedoch nicht bestätigt und arbeitet mit Strafverfolgungs- und Vorfallreaktionsfirmen zusammen, um weitere Untersuchungen durchzuführen.
Der CEO von Vercel gab an, dass der Verstoß durch die Verwendung von Context.ai durch einen Mitarbeiter ermöglicht wurde, was es Angreifern ermöglichte, den Zugriff auf die internen Umgebungen von Vercel zu erweitern. Trotz der potenziellen Auswirkungen des Verstoßes behauptet Vercel, dass seine Methoden zur Speicherung sensibler Daten das Unternehmen bisher vor Offenlegung geschützt haben.
Der Zeitpunkt des Vercel-Verstoßes fällt mit einer Ausnutzung des rsETH-Tokens von Kelp DAO im Wert von 292 Millionen US-Dollar zusammen, was eine Liquiditätskrise auf dezentralen Finanzplattformen wie Aave auslöst. Der April hat sich zu einem turbulenten Monat für Krypto entwickelt, der von bedeutenden Exploits geprägt war, darunter einem 285-Millionen-Dollar-Angriff auf das Solana-basierte Drift-Protokoll, das vermutlich mit nordkoreanischen Akteuren in Verbindung steht.
LayerZero stellte fest, dass der Kelp-DAO-Exploit im Wert von 290 Millionen US-Dollar darauf zurückzuführen war, dass Kelp sich entgegen den Empfehlungen für mehrere Verifizierer für eine Konfiguration mit nur einem Verifizierer entschieden hatte. Die Angreifer haben zwei RPC-Knoten kompromittiert und einen DDoS-Angriff durchgeführt, bei dem Schwachstellen in der Kelp-Architektur ausgenutzt wurden.
