Hãy chú ý đến nội dung ký kết! Vercel bị tấn công tống tiền 2 triệu USD, cảnh báo về an toàn bảo mật của front-end trong các giao thức mã hóa

Nền tảng phát triển đám mây Vercel đã bị tin tặc tấn công vào ngày 19 tháng 4. Kẻ tấn công đã giành quyền truy cập thông qua các công cụ AI bên thứ ba mà nhân viên sử dụng, và nghi ngờ đã công khai rao bán dữ liệu bị đánh cắp trên diễn đàn, mức giá lên tới 2 triệu USD. Do nhiều dự án mã hóa đưa giao diện ví và phần triển khai front-end dApp lên Vercel, sự việc cũng khiến cộng đồng mã hóa lo ngại.

Nguồn gốc vụ xâm nhập: Công cụ AI bên thứ ba OAuth của nhân viên bị xâm nhập

Trong thông báo bảo mật chính thức, Vercel cho biết ứng dụng OAuth của Google Workspace thuộc công cụ AI bên thứ ba Context.ai mà một nhân viên sử dụng đã bị xâm nhập. Kẻ tấn công nhờ đó chiếm quyền tài khoản Google Workspace của nhân viên, rồi xâm nhập dữ liệu nội bộ của Vercel.

CEO của Vercel, Guillermo Rauch, trong một bài đăng trên X tiết lộ rằng cuộc tấn công này có thể ảnh hưởng đến hàng trăm tổ chức sử dụng cùng một công cụ, không chỉ riêng Vercel.

Rauch mô tả kế hoạch tấn công của tin tặc là “rất tinh vi”, đồng thời nghi ngờ đối phương đã tận dụng AI để hoàn thiện đáng kể hành động xâm nhập, thể hiện sự hiểu biết sâu sắc về kiến trúc nội bộ của Vercel. Hiện tại, công ty an ninh mạng Mandiant thuộc Google đã hỗ trợ điều tra, và Vercel cũng đã thông báo cho các cơ quan thực thi pháp luật liên quan.

Thành viên tổ chức tin tặc đăng bài tống tiền 2 triệu USD

Vercel thừa nhận rằng mọi dữ liệu nhạy cảm đều được lưu trữ dưới dạng mã hóa nên không bị truy cập; tuy nhiên, các dữ liệu khác không được đánh dấu là “nhạy cảm” có thể đã bị kẻ tấn công đọc và khai thác.

Ảnh chụp bài đăng trên diễn đàn lan truyền trên Telegram

Một người tự xưng là có liên quan đến tổ chức tin tặc ShinyHunters đã đăng bài trên diễn đàn tội phạm mạng BreachForums, cho biết đã lấy được khóa API của Vercel, NPM token, GitHub token, nội dung mã nguồn và cơ sở dữ liệu nội bộ, đồng thời công bố khoảng 580 dữ liệu nhân viên như “bằng chứng đã bị xâm nhập”, bao gồm họ tên nhân viên, email công ty, trạng thái tài khoản và thời gian hoạt động.

ShinyHunters phủ nhận liên quan, chưa rõ sự thật của cuộc đàm phán tống tiền

Điều khó hiểu là dù người đăng tự xưng đến từ ShinyHunters, nhưng tổ chức này đã công khai phủ nhận tham gia vào sự việc lần này, khiến danh tính thật của kẻ tấn công trở nên mơ hồ.

Kẻ tấn công đồng thời cũng tuyên bố đã liên hệ qua Telegram và Vercel về khoản tiền chuộc 2 triệu USD, đồng thời yêu cầu thanh toán trước 500.000 USD bằng bitcoin để lấy lại một phần dữ liệu; tuy nhiên Vercel không xác nhận điều này.

Tín hiệu cảnh báo đỏ cho các thỏa thuận mã hóa: mặt tấn công chuỗi cung ứng front-end mới

Tác động của sự kiện Vercel đối với lĩnh vực mã hóa không thể xem nhẹ. Nhiều sàn giao dịch phi tập trung (DEX) cùng với giao diện front-end của ví và bảng điều khiển dApp đều được triển khai trên Vercel. Nếu các endpoint private RPC, khóa API bên thứ ba hoặc các bí mật liên quan đến ví của các dự án mã hóa đó được lưu trữ trong dữ liệu không được đánh dấu là “nhạy cảm”, thì các thông tin này có thể đã bị rò rỉ.

For context, a lot of DeFi is hosted on Vercel and crypto users are a prime target for such attack.

If you need to use DeFi in this time of crisis, verifying what you sign is of utmost importance! You can also use .eth.limo (just hacked but back up and running) or IPFS frontend…

— Pybast (@Pybast) April 19, 2026

Nói một cách đơn giản, về mặt lý thuyết kẻ tấn công có thể trực tiếp can thiệp vào trang web và giao diện của dự án, dụ người dùng nhấp vào và ký một hợp đồng độc hại, thay vì chỉ chuyển hướng tên miền tới trang web lừa đảo, từ đó vượt qua hoàn toàn lớp giám sát và phòng vệ ở tầng DNS. Hiện vẫn chưa có bất kỳ thỏa thuận nào vì thế mà truyền ra thảm họa, nhưng các đội an ninh mạng trên khắp nơi đã đưa nó vào danh sách rủi ro nghiêm trọng tiềm ẩn.

Trên thực tế, vấn đề bảo mật front-end trong giới mã hóa đã là “căn bệnh” lâu nay của ngành. DEX CoW Swap tuần trước vừa tạm dừng giao dịch do chiếm quyền điều khiển tên miền (domain hijacking), và Aerodrome cùng Velodrome cũng từng bị tấn công chiếm quyền điều khiển DNS vào tháng 11 năm ngoái.

Vercel cập nhật dữ liệu, kêu gọi người dùng thay đổi khóa ngay lập tức

Vercel cho biết dịch vụ của công ty hiện vẫn vận hành bình thường và cuộc điều tra vẫn đang được tiến hành, đồng thời cập nhật bảng điều khiển quản lý dữ liệu. Về phía chính thức, họ mạnh mẽ khuyến nghị tất cả người dùng ngay lập tức rà soát toàn diện dữ liệu hiện có, thay đổi khóa đối với tất cả các dữ liệu không được đánh dấu là “nhạy cảm”, và bật tính năng biến nhạy cảm của nền tảng để đảm bảo các thông tin xác thực liên quan được lưu trữ dưới dạng mã hóa.

Bài viết này Lưu ý nội dung ký! Vercel bị tin tặc tống tiền 2 triệu USD, bảo mật front-end của các thỏa thuận mã hóa báo động sớm xuất hiện trên 鏈新聞 ABMedia.