云开发平台Vercel周日表示,攻击者未经授权访问了其部分内部基础设施,这一事件可能对许多在该服务上托管前端的加密项目产生连锁影响。
在一份安全公告中,该公司表示已聘请外部事件响应团队并通知执法部门。Vercel表示只有有限数量的客户受到影响,正在直接联系这些客户,其服务仍保持正常运行。
“我们的调查显示,该事件源自第三方AI工具,其Google Workspace OAuth应用遭受了更广泛的攻击,可能影响数百个组织中的许多用户,”Vercel表示。
这一披露是在网络犯罪市场BreachForums上的一篇帖子之后发布的,据BleepingComputer报道,一个名为ShinyHunters的卖家以200万美元的价格提供据称是Vercel的内部数据。发帖者列出了访问密钥、源代码、数据库记录以及包括NPM和GitHub令牌在内的内部部署凭证。发帖者声称的真实性尚未得到独立验证。
加密行业的风险暴露
这次暴露对加密行业具有重要意义。Web3团队经常在Vercel上部署钱包界面、DEX前端和dapp仪表板,任何将私有RPC端点、第三方API密钥或与钱包相关的秘密以明文环境变量存储的项目现在可能需要将这些秘密视为已泄露。
前端攻击已经是该领域的常见问题。DEX聚合器CoW Swap上周在域名劫持期间暂停了交易,Aerodrome和Velodrome在11月都遭受了DNS劫持攻击。EasyDNS昨天刚刚承认对eth.limo项目的DNS劫持负有责任。这些攻击通常通过在注册商或DNS层将访问者重定向到钱包耗尽的克隆网站来实施。
托管和部署层的攻击将开辟不同的攻击面,完全绕过DNS监控,在最坏的情况下,可能允许篡改项目的实际构建输出,而不仅仅是其域名指向的位置。
目前尚不清楚攻击者是如何攻破Vercel的,也不清楚是否有面向客户的部署被修改。Vercel表示调查仍在进行中,将在获得更多信息后更新公告。截至发稿时,尚未有知名加密项目公开承认他们因该漏洞而收到Vercel的联系。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/20/web3%e6%89%98%e7%ae%a1%e5%b9%b3%e5%8f%b0vercel%e7%a1%ae%e8%ae%a4%e9%81%ad%e9%bb%91%e5%ae%a2%e5%85%a5%e4%be%b5%ef%bc%8c%e6%94%bb%e5%87%bb%e8%80%85%e7%b4%a2%e8%a6%81200%e4%b8%87%e7%be%8e%e5%85%83/
