暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

第三方 AI 入侵 Vercel,Orca 緊急輪替金鑰確認協議安全

MarketWhisper
セキュリティインシデントAI業界ニュース
ORCA2.68%

Orca輪替金鑰

オー カ(Orca)は4月20日、クラウド開発プラットフォームのVercelに関するセキュリティ事案について、鍵と認証情報の全面的なローテーションを完了したと発表し、その結果、オンチェーンの契約およびユーザー資金への影響がないことを確認した。Vercelは日曜日に明らかにし、攻撃者がGoogle Workspace OAuthと統合されたサードパーティのAIツールを通じて、プラットフォームの一部の社内システムにアクセスしたとした。

侵入経路:AI OAuthのサプライチェーンの脆弱性であり、Vercel本体への直接攻撃ではない

Vercel攻擊事件 (出所:Vercel)

今回の事案の攻撃経路はVercelを直接狙ったものではなく、先により大規模なセキュリティ事案で侵害されていたサードパーティのAIツールを介して、Google Workspace OAuthの統合許可権限を利用し、Vercelの社内システムにアクセスしたものだという。Vercelによれば、このツールはそれ以前にも複数の機関において数百人規模のユーザーに影響を与えていた。

この種のサプライチェーンの脆弱性は、信頼された統合サービスを利用する一方で、直接のコードの脆弱性を突くわけではないため、従来のセキュリティ監視では識別が難しい。開発者のTheo Browneは、最も影響が大きかったのはVercel内部におけるLinearおよびGitHubとの統合だと指摘した。攻撃者がアクセスし得る情報には、アクセスキー、原始コード、データベースの記録、デプロイ用の認証情報(NPMおよびGitHubトークンを含む)が含まれる可能性がある。事案の帰属は現時点では不明であり、売り手がVercelに対して身代金を要求したという報道があるものの、交渉の詳細は開示されていない。

暗号フロントエンドの特別なリスク:ホスティング層の攻撃 vs. 従来のDNSハイジャック

今回の事案は、暗号フロントエンドのセキュリティにおいて長らく見過ごされてきた攻撃面を浮き彫りにした:

2つの攻撃モードの重要な違い

DNS層のハイジャック:攻撃者がユーザーを偽装サイトへリダイレクトし、通常は監視ツールによって比較的迅速に検知できる

ホスティング層(ビルドパイプライン)への侵入:攻撃者がユーザーに提供されるフロントエンドのコードを直接改ざんする。ユーザーは正しいドメインにアクセスしているが、知らないうちに悪意あるコードを実行してしまう可能性がある

Vercel環境で、環境変数が「sensitive」としてマークされていない場合、漏えいする可能性がある。暗号プロトコルにとって、これらの変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの重要な情報が含まれる。これらが漏えいすると、攻撃者はデプロイ版を改ざんしたり、悪意のあるコードを注入したり、後 backendサービスにアクセスしてより広範な攻撃を行う可能性がある。Vercelは顧客に対し、環境変数を直ちに見直し、プラットフォームの「sensitive」変数保護機能を有効化するよう促している。

Web3セキュリティへの示唆:サプライチェーンへの依存が体系的なリスクになりつつある

今回の事案はOrcaだけでなく、Web3コミュニティ全体に対して、より深い構造的問題も明らかにした:暗号プロジェクトが集中型のクラウド基盤とAI統合サービスに依存しており、それによって防御が難しい新たな攻撃面が形成されつつある。いかなる信頼された第三者サービスであっても侵害されると、攻撃者は従来のセキュリティ防御を迂回してユーザーに直接影響を与えることができる。暗号フロントエンドのセキュリティはDNS保護やスマートコントラクトの監査の範囲を超えており、クラウドプラットフォーム、CI/CDパイプライン、AI統合の包括的な安全管理が、Web3プロジェクトにとって無視できない防御レイヤーになっている。

よくある質問

今回のVercelセキュリティ事案は、Vercelを利用する暗号プロジェクトにどのような影響がありますか?

Vercelは、影響を受けた顧客数は限られており、プラットフォームのサービスは中断されていないと述べている。しかし、多数のDeFiフロントエンド、DEXの画面、ウォレット接続ページがVercelでホスティングされているため、プロジェクト側は、漏えいの可能性がある環境変数を直ちに確認し、鍵をローテーションしたうえで、デプロイ用認証情報(NPMおよびGitHubトークンを含む)の安全状態を確認するよう推奨されている。

「環境変数の漏えい」は暗号フロントエンドにおいて具体的にどんなリスクを意味しますか?

環境変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの機密情報が保存されている。これらの値が漏えいすれば、攻撃者はフロントエンドのデプロイを改ざんしたり、悪意のあるコードを注入したり(偽装されたウォレットの承認リクエストなど)、後 backendの接続サービスにアクセスして、より広範な攻撃を行う可能性があり、さらにユーザーがアクセスするドメインは一見正常に見え続ける。

Orcaのユーザーの資金は、今回のVercel事案の影響を受けていますか?

Orcaは、其のオンチェーン契約とユーザー資金は影響を受けていないことを明確に確認している。今回の鍵のローテーションは、確認済みの資金損失に基づくものではなく、慎重な考慮による予防措置である。Orcaは非ホスティングの構成を採用しているため、フロントエンドが影響を受けたとしても、オンチェーン資産の所有権コントロールは依然としてユーザー本人が保有している。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

独立研究者が15ビットのECCキーを解読、Project Elevenからビットコイン報酬獲得

bitcoin newsセキュリティインシデント

ゲートニュース記事、4月25日――独立研究者のジャンカルロ・レッリ(Giancarlo Lelli)が、ビットコインを保護する15ビットのECC暗号化キーを正常に解読し、量子セキュリティスタートアップのProject ElevenからQ-Day Awardに加えて1 BTCを受け取りました。 レッリは公開されている量子ハードウェアと、Shorの

GateNews1時間前

22歳のカリフォルニア暗号資産マネーロンダラー、$263M 詐欺スキームで70か月の有罪判決

執行措置セキュリティインシデント

ゲートニュース、4月25日—カリフォルニア州ニューポートビーチ出身の22歳、エヴァン・タンジェマンは、$263 百万ドルにのぼる巨額の暗号資産詐欺スキームで得た資金のマネーロンダリングへの関与により、4月24日に懲役70か月の判決を受けた。ワシントンD.C.の米連邦地方裁判所は、判決を言い渡した

GateNews2時間前

コロンビアおよび米国当局、CJNG関連の暗号資産マネーロンダリング・ネットワークを1億9000万ドル規模で解体

執行措置セキュリティインシデント

ゲートニュース メッセージ、4月25日――コロンビアおよび米国の法執行機関は、メキシコのハリスコ新世代カルテル (CJNG) に関連する国境を越えた暗号資産のマネーロンダリング・ネットワークを共同で解体した。 このネットワークは、暗号資産チャネルを通じて $190 百万ドル超の違法資金を送金してきた

GateNews4時間前

フランス、2023年以降の暗号資産関連の誘拐事案を135件報告 未成年を含む;拘束者75人

執行措置セキュリティインシデント

ゲート・ニュース、4月25日 — フランスの組織犯罪起訴局 (PNACO) は、2023年以降に同国で暗号資産(クリプト)に関連した誘拐、または誘拐未遂の事件が135件記録されたと報告した。現在捜査中の12件のうち、88人が正式に

GateNews5時間前

$263M 暗号資産の窃盗計画におけるマネーロンダリングで70か月の判決を受けたカリフォルニア州の男性

執行措置セキュリティインシデント

Gate Newsメッセージ、4月25日—カリフォルニア州ニューポートビーチ出身の22歳の男性、エヴァン・タンジェマンは、米司法省によれば、暗号資産で$263 百万ドル超を盗んだ複数州にまたがるソーシャルエンジニアリング犯罪グループでの役割により、連邦刑務所で70か月の刑と、保護観察3年を言い渡された。

GateNews8時間前

3.5か月でフランスにおける41件の暗号資産誘拐;ドゥロフはデータ流出を非難

地政学セキュリティインシデント取引所リスク

ゲートニュース(4月24日)— テレグラム創設者のパベル・ドゥロフによると、フランスでは2026年のわずか3.5か月間に暗号資産保有者が41件誘拐されたという。ドゥロフは、この急増を広範なデータ流出によるものだとした。ドゥロフはXの投稿で、納税当局が保有する情報や、フランスの安全な文書機関での大規模な侵害に由来する情報を含む機微な個人データが、約1900万人の氏名、住所、電話番号をさらし、デジタル資産の保有者が標的にされやすくなったと強調した。情報 h

GateNews12時間前
コメント
0/400
コメントなし