云端托管平台Vercel遭黑！黑客开价200万美元勒索，加密项目恐有安全风险

Vercel 云端平台因第三方 AI 工具遭劫持而遇骇，黑客开价 200 万美元勒索机密资料。由于多数加密货币专案依赖其部署前端，此事件恐让专案面临被恶意篡改的重大网络安全风险。

云端托管平台 Vercel 遭骇，加密专案也爱用

云端托管与部署基础设施的 Vercel 平台，已证实部分内部系统遭到未经授权的访问，导致少部分客户受到影响。

Vercel 提供无服务器功能、边缘运算以及持续整合与持续部署管道等服务，并以开发者广泛使用的 React 框架 Next.js 而闻名，许多区块链与加密货币专案也依赖 Vercel 来部署前端界面。

Vercel 执行长 Guillermo Rauch 在社群平台 X 发文说明，这次黑客案发生的原因是第三方 AI 工具 Context.ai 出问题，一名 Vercel 员工的 Google Workspace 账户，在该 AI 平台的数据泄露事件中遭到劫持，攻击者随后利用该账户权限进入 Vercel 的内部环境。

Vercel 所有客户环境变量在静态时都会进行全面加密，同时也提供将变量指定为非敏感的功能。黑客正是通过枚举的方式，获取了未加密的非敏感环境变量。

图源：Vercel 官网 Vercel 是云端托管与部署基础设施，许多区块链与加密货币专案也依赖 Vercel 来部署前端界面。

黑客开价 200 万美元勒索出售偷到的资料

网络安全媒体《Bleepingcomputer》的报道指出，一名自称来自黑客组织 ShinyHunters 的成员，在黑客论坛 BreachForums 上发文称，已取得 Vercel 的内部资料，并开价 200 万美元勒索官方团队。

黑客展示的遭窃资料包含访问密钥、源代码、数据库记录，以及 NPM 和 GitHub 的内部部署 API Key，甚至包含 580 条 Vercel 员工的姓名、电子邮件、账户状态与活动时间戳。

图源：BreachForums 黑客开价 200 万美元出售偷到的资料

不过，核心 ShinyHunters 组织的相关成员，已向媒体否认参与此次 Vercel 攻击事件，但该组织之前曾攻击过《GTA》游戏系列开发商 Rockstar（R 星）。

• **相关报道：**GTA6 开发商遭骇！黑客：4/14 不付钱就泄露玩家资料，R 星怎么回应？

Vercel 官方建议客户全面审查

针对这次黑客案，Vercel 已聘请外部网络安全专家并通报执法部门，同时推出更新以强化网络安全管理。

Vercel 强烈建议管理员检查活动日志中是否有可疑行为，并呼吁 Google Workspace 管理员立即检查是否安装了特定遭入侵的 OAuth 应用程序。

官方也建议客户全面审查并替换环境变量，启用敏感变量功能以确保资料获得静态加密保护。

Vercel 遭骇对加密专案有哪些影响

此次事件对加密货币产业带来极大的风险。据《The Block》报道，区块链经常在 Vercel 上部署钱包界面、去中心化交易所（DEX）前端以及去中心化 App（dApp）仪表板。

区块链专案如果将私有 RPC 端点、第三方 API Key 或与钱包相关的机密信息存放在非敏感环境变量中，这些机密现在极可能已经外泄。

开发者社群的知名人士 Theo Browne 也发文表示，消息来源指出 Vercel 内部的 Linear 和 GitHub 整合系统受到的影响最为严重。

图源：X/Theo Browne

过去加密货币领域的前端网络安全问题频传，包括 CoW Swap、Aerodrome 与 Velodrome 等专案都曾遭遇域名系统挟持，这类攻击通常通过将访客重新导向至钓鱼网站来窃取资产。

《The Block》指出，本次黑客案发生在托管与部署层，开启了全新的攻击面，完全绕过了域名系统监控。最坏情况下，攻击者可以直接篡改专案实际构建的前端输出内容。

延伸阅读：
CoW Swap 遭 DNS 劫持攻击！粗估用户损失百万美元，官方：别用前端网页