Uma exchange descentralizada, a Orca, anunciou a 20 de abril que concluiu a substituição completa de chaves e credenciais para um incidente de segurança na plataforma de desenvolvimento em cloud Vercel, confirmando que os seus contratos on-chain e os fundos dos utilizadores não foram afetados. A Vercel divulgou no domingo que um atacante, através de uma ferramenta de IA de terceiros que integra o Google Workspace OAuth, acedeu a parte dos sistemas internos da plataforma.
Caminho de intrusão: vulnerabilidade na cadeia de fornecimento de OAuth da IA, não um ataque direto ao próprio Vercel
(Fonte: Vercel)
O caminho de ataque deste incidente não visou diretamente a Vercel; em vez disso, passou por uma ferramenta de IA de terceiros que já tinha sido comprometida num incidente de segurança anterior de maior escala, utilizando as permissões concedidas pela integração do Google Workspace OAuth para aceder aos sistemas internos da Vercel. A Vercel afirma que esta ferramenta já tinha afetado centenas de utilizadores de várias organizações.
Este tipo de vulnerabilidade na cadeia de fornecimento é difícil de detetar com monitorização de segurança tradicional, porque explora um serviço de integração de confiança em vez de uma vulnerabilidade de código detetável de forma direta. O programador Theo Browne indicou que o impacto mais grave ocorreu nas integrações internas da Vercel com o Linear e o GitHub. A informação que o atacante poderá ter conseguido aceder inclui: chaves de acesso, código-fonte, registos de base de dados e credenciais de implementação (incluindo tokens da NPM e do GitHub). A atribuição do incidente ainda não está esclarecida; há relatos de que o vendedor teria exigido um resgate à Vercel, mas os pormenores das negociações não foram divulgados.
Riscos específicos do front-end cripto: ataque à camada de gestão vs. sequestro tradicional de DNS
Este incidente evidencia uma superfície de ataque no âmbito da segurança do front-end cripto que tem sido ignorada há muito tempo:
Principais diferenças entre dois modos de ataque
Sequestro na camada DNS: o atacante redireciona os utilizadores para um site falsificado, geralmente detetável relativamente rápido através de ferramentas de monitorização
Invasão na camada de gestão (Build Pipeline): o atacante modifica diretamente o código do front-end entregue aos utilizadores; os utilizadores acedem ao domínio correto, mas podem executar código malicioso sem o saber
No ambiente da Vercel, se as variáveis de ambiente não estiverem marcadas como “sensitive”, podem ser expostas. Para protocolos cripto, estas variáveis normalmente incluem informações críticas, como chaves de API, endpoints privados de RPC e credenciais de implementação. Uma vez expostas, o atacante pode alterar versões de deployment, injetar código malicioso ou aceder a serviços backend para realizar ataques mais abrangentes. A Vercel instou os clientes a rever imediatamente as variáveis de ambiente e a ativar a funcionalidade de proteção de variáveis sensíveis da plataforma.
Implicações para a segurança Web3: a dependência de cadeias de fornecimento está a tornar-se um risco sistémico
Este incidente não afeta apenas a Orca, mas revela à comunidade Web3 um problema estrutural mais profundo: a dependência de projetos cripto de infraestruturas cloud centralizadas e de serviços de integração de IA está a criar uma nova superfície de ataque difícil de defender. Quando qualquer serviço de terceiros de confiança é comprometido, o atacante pode contornar defesas de segurança tradicionais e afetar diretamente os utilizadores. A segurança do front-end cripto já ultrapassou o âmbito da proteção DNS e das auditorias de smart contracts; a gestão de segurança abrangente das plataformas em cloud, dos pipelines de CI/CD e das integrações de IA está a tornar-se uma camada de defesa que os projetos Web3 não podem ignorar.
Questões frequentes
Que impacto tem o incidente de segurança da Vercel na utilização da Vercel por projetos cripto?
A Vercel afirma que o número de clientes afetados é limitado e que o serviço da plataforma não foi interrompido. Contudo, como muitos front-ends DeFi, interfaces de DEX e páginas de ligação de carteiras estão alojados na Vercel, recomenda-se que as equipas dos projetos revejam imediatamente as variáveis de ambiente, substituam quaisquer chaves que possam ter sido expostas, e confirmem o estado de segurança das credenciais de deployment (incluindo tokens da NPM e do GitHub).
O que significa, de forma concreta, “exposição de variáveis de ambiente” no front-end cripto?
As variáveis de ambiente normalmente armazenam informações sensíveis, como chaves de API, endpoints privados de RPC e credenciais de implementação. Se estes valores forem expostos, o atacante pode alterar o deployment do front-end, injetar código malicioso (por exemplo, pedidos falsificados de autorização de carteira) ou aceder a serviços de ligação backend para realizar um ataque mais abrangente, enquanto o domínio que os utilizadores visitam ainda apresenta, aparentemente, um aspeto normal.
Os fundos dos utilizadores da Orca foram afetados por este incidente da Vercel?
A Orca confirmou de forma inequívoca que os seus contratos on-chain e os fundos dos utilizadores não foram afetados. Esta substituição de chaves é uma medida preventiva por precaução, e não baseada em perdas de fundos já confirmadas. Como a Orca adota uma arquitetura não-custodial, mesmo que o front-end seja afetado, o controlo da propriedade dos ativos on-chain continua a ser detido pelo próprio utilizador.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Condenado a 70 Meses um Lavador de Cripto da Califórnia, de 22 Anos, por Esquema de $263M Fraude
Mensagem do Gate News, 25 de abril — Evan Tangeman, 22, de Newport Beach, Califórnia, foi condenado a 70 meses de prisão em 24 de abril pelo seu papel na lavagem de $263 milhões obtidos através de um vasto esquema de fraude em criptomoeda. O Tribunal Distrital dos EUA em Washington, D.C., impôs a sentença
GateNews35m atrás
Autoridades da Colômbia e dos EUA Desmantelam Rede de Branqueamento em Cripto Ligada ao CJNG no Valor de $190M
Mensagem do Gate News, 25 de abril — Agências de aplicação da lei da Colômbia e dos EUA desmantelaram em conjunto uma rede transnacional de branqueamento de dinheiro em criptomoedas ligada ao Cartel Jalisco Nova Geração do México (CJNG). A rede transferiu mais de $190 milhões em fundos ilícitos através de canais cripto
GateNews2h atrás
França Reporta 135 Casos de Sequestro Relacionados com Criptomoedas Desde 2023, Incluindo Menores; 75 Detidos
Notícia do Gate, 25 de abril — O gabinete de acusação de crimes organizados de França (PNACO) informou que foram registados 135 casos de sequestro, ou tentativa de sequestro, relacionados com criptomoedas no país desde 2023. Entre os 12 casos atualmente em investigação, 88 indivíduos foram formalmente
GateNews3h atrás
Homem da Califórnia Condenado a 70 Meses por Lavagem de Dinheiro num Esquema de Roubo de $263M Cripto
Mensagem da Gate News, 25 de abril — Um homem de 22 anos de Newport Beach, Califórnia, Evan Tangeman, foi condenado a 70 meses de prisão federal e a 3 anos de liberdade supervisionada pelo seu papel numa rede de criminalidade de engenharia social que operava em vários estados e que roubou mais de $263 milhões em criptomoeda, de acordo com
GateNews6h atrás
41 Raptos de Cripto na França em 3,5 Meses; Durov Atribui a Fugas de Dados
Mensagem do Gate News, 24 de abril — A França registou 41 raptos de detentores de criptomoedas em apenas 3,5 meses de 2026, segundo Pavel Durov, fundador do Telegram, que atribuiu o aumento a fugas de dados generalizadas. Durov destacou numa publicação no X que dados pessoais sensíveis — incluindo informações detidas pelas autoridades fiscais e provenientes de uma grande violação na Agência Francesa para Documentos Seguros — expuseram aproximadamente os nomes, endereços e números de telefone de 19 milhões de pessoas, tornando os detentores de ativos digitais alvos mais fáceis.
As autoridades francesas confirmaram que mais de 40 raptos cripto ou tentativas de rapto foram registados desde janeiro de 2026, assinalando um aumento acentuado face a aproximadamente 30 casos em 2025. Segundo Philippe Chadrys da polícia judiciária de França, o modus operandi e os métodos de seleção variam, com muitas operações dirigidas por redes a operar a partir do estrangeiro. Os incidentes vão de raptos de curto prazo a casos violentos envolvendo tortura e exigências de resgate. Num caso recente, uma mulher e o seu filho de 11 anos foram raptados na Borgonha e mais tarde libertados após uma operação policial de grande escala. Noutro caso em Anglet, os suspeitos raptaram por engano as pessoas erradas antes de serem detidos. Em 2025, o destacado nome do setor cripto David Balland foi raptado e teve o dedo cortado antes de ser resgatado.
Os procuradores franceses já acusaram 88 indivíduos em ligação com raptos relacionados com criptomoedas, incluindo menores em pelo menos uma dúzia de casos. Durov alertou que alargar o acesso do governo a identidades digitais e comunicações encriptadas poderá agravar a situação caso os sistemas sejam comprometidos, embora a sua afirmação de que funcionários fiscais estão a vender diretamente dados permaneça não verificada.
A crise de exposição de dados estende-se para além dos raptos. As organizações de proteção de dados de França reportam milhões de registos comprometidos em múltiplas violações que afetam serviços públicos e empresas privadas. Segundo Seb, presidente da Federação Francesa de Proteção de Dados, a França está a caminho de se tornar o segundo país mais atacado a nível global em 2026, com mais de 300 serviços franceses afetados, 23 milhões de contas comprometidas e mais de 250 milhões de registos de dados expostos. France Titres ANTS, por si só, viu mais de 11,7 milhões de contas expostas, enquanto a Agência Estatal de Pagamentos e Serviços divulgou dados bancários e números de segurança social de milhões de cidadãos franceses.
Os raptos relacionados com criptomoedas seguem tipicamente um padrão: as vítimas são identificadas como detentoras de ativos digitais, são raptadas e pressionadas a transferir fundos sob coação. Ao contrário das contas bancárias tradicionais, as carteiras cripto podem ser acedidas instantaneamente se as chaves privadas ou palavras-passe forem reveladas, o que as torna alvos atrativos para extorsão. Entretanto, o Bitcoin subiu quase 10% nos últimos 30 dias, negociando a US$ 77.601 à hora de fecho, enquanto o Ethereum caiu 5% ao longo da semana, negociando a US$ 2.315.
GateNews10h atrás
Investigador Italiano Ganha Bónus de 1 BTC por Ataque Quântico de 32.767 Bits às Chaves de Curvas Elípticas
Mensagem do Gate News, 24 de Abril — Giancarlo Lelli, um investigador italiano, foi premiado com um Bitcoin depois de demonstrar o maior ataque quântico à criptografia de curvas elípticas até à data. A descoberta intensifica as preocupações sobre ameaças quânticas ao Bitcoin, Ethereum e outros ativos protegidos
GateNews11h atrás
