Vercel은 고객 API 키가 노출되었을 수 있는 보안 위반을 공개하여 암호화폐 프로젝트 간에 긴급 자격 증명 순환을 촉발시켰습니다. 이번 침해는 타사 AI 도구인 Context.ai에 연결된 손상된 Google Workspace 연결로 인해 발생합니다. Vercel은 민감한 환경 변수가 무단 액세스의 증거 없이 안전하게 저장된다는 점을 명확히 했습니다.
Vercel은 지갑 인터페이스 및 대시보드를 포함한 많은 Web3 애플리케이션을 지원하므로 이번 사건은 중요합니다. 암호화폐 부문의 수많은 팀, 특히 프런트엔드 인프라에 Vercel을 사용하는 팀은 현재 코드의 취약점을 검토하고 있습니다. 솔라나(Solana) 기반 거래소인 오르카(Orca)는 사용자에게 온체인 프로토콜과 자금이 영향을 받지 않도록 보장하는 동시에 예방 조치로 모든 배포 자격 증명을 순환시켰음을 확인했습니다.
해커가 API 키 노출로 이어질 수 있는 백엔드 구성에 액세스했을 수 있다고 회사는 지적했습니다. API 키는 애플리케이션을 중요한 서비스에 연결하는 데 중요합니다. 사이버 범죄 포럼은 액세스 키와 소스 코드를 포함하여 Vercel 데이터를 200만 달러에 제공한다고 주장했지만 Vercel은 이러한 주장의 진위를 확인하지 않았으며 법 집행 기관 및 사고 대응 회사와 협력하여 추가 조사를 진행하고 있습니다.
Vercel의 CEO는 직원의 Context.ai 사용을 통해 침해가 발생했으며 공격자가 Vercel의 내부 환경에 대한 액세스를 확대할 수 있었다고 밝혔습니다. 위반의 잠재적인 영향에도 불구하고 Vercel은 민감한 데이터를 저장하는 방법을 통해 지금까지 데이터가 노출되지 않도록 보호했다고 주장합니다.
Vercel 침해 시점은 Kelp DAO의 rsETH 토큰이 2억 9,200만 달러에 달하는 악용과 일치하여 Aave와 같은 분산형 금융 플랫폼 전반에 걸쳐 유동성 위기를 촉발했습니다. 4월은 북한 행위자들과 연계된 것으로 의심되는 솔라나 기반 드리프트(Drift) 프로토콜에 대한 2억 8,500만 달러 규모의 공격을 포함하여 상당한 악용으로 특징지어지는 암호화폐에 있어서 소란스러운 달로 나타났습니다.
LayerZero는 2억 9천만 달러 규모의 Kelp DAO 익스플로잇이 다중 검증자 권장 사항과 달리 단일 검증자 구성을 활용하기로 한 Kelp의 선택에서 비롯되었음을 확인했습니다. 공격자는 두 개의 RPC 노드를 손상시키고 Kelp 아키텍처의 취약점을 악용하는 DDoS 공격을 수행했습니다.
<시간 />
