云端托管平台Vercel遭黑！黑客开价200万美金勒索，加密项目恐有安全风险

Vercel 云端平台因第三方 AI 工具遭劫持而遇骇，骇客开价 200 万美元勒索机密资料。因多数加密货币专案依赖其部署前端，此事件恐让专案面临遭篡改的重大资安风险。

云端托管平台Vercel遭骇，加密专案也爱用

云端托管与部署基础设施的 Vercel 平台，已证实部分内部系统遭到未经授权的访问，导致少部分客户受到影响。

Vercel 提供无服务器功能、边缘运算及持续整合与持续部署管道等服务，并以开发广泛使用的 React 框架 Next.js 而闻名，许多区块链与加密货币专案也依赖 Vercel 来部署前端界面。

Vercel 执行长 Guillermo Rauch 在社群平台 X 发文说明，这次骇客案发的原因是第三方 AI 工具 Context.ai 出问题，一名 Vercel 员工的 Google Workspace 账户，在该 AI 平台的数据外泄事件中遭到劫持，攻击者随后利用该账户权限，进入 Vercel 的内部环境。

Vercel 所有的客户环境变量在静态时都进行全面加密，同时也提供将变量指定为非敏感的功能。骇客正是通过列举的方式，取得了未加密的非敏感环境变量。

图源：Vercel官网Vercel是云端托管与部署基础设施，许多区块链与加密货币专案也依赖 Vercel 来部署前端界面。

骇客开价200万美元勒索偷到的资料

资安媒体《Bleepingcomputer》的报道指出，一名自称来自骇客组织 ShinyHunters 的成员，在骇客论坛 BreachForums 上发文，宣称已取得 Vercel 的内部资料，并开价 200 万美元勒索官方团队。

骇客展示的遭窃资料包含存取密钥、原始码、数据库纪录，以及 NPM 和 GitHub 的内部部署 API Key，甚至包含 580 筆 Vercel 员工的姓名、电子邮件、账户状态与活动时间戳。

图源：BreachForums骇客开价200万美元出售偷到的资料

不过，核心 ShinyHunters 组织的相关成员，已向媒体否认有参与本次 Vercel 攻击事件，但该组织之前攻击过《GTA》游戏系列开发商 Rockstar（R 星）。

• **相关报道：**GTA6开发商被骇！骇客：4/14不付钱就泄露玩家资料，R星怎么回应？

Vercel官方建议客户全面审查

针对这次骇客案，Vercel 已聘请外部资安专家并通报执法部门，同时推出更新以强化资安管理。

Vercel 强烈建议管理员检查活动日志中是否有可疑行为，并呼吁 Google Workspace 管理员立即检查是否安装了特定遭入侵的 OAuth 应用程序。

官方也建议客户全面审查并替换环境变量，启用敏感变量功能以确保资料获得静态加密保护。

Vercel遭骇对加密专案有哪些影响

这起事件对加密货币产业带来极大的风险。 据《The Block》报道，区块链经常在 Vercel 上部署钱包界面、去中心化交易所（DEX）前端以及去中心化 App（dApp）仪表板。

区块链专案若将私有 RPC 端点、第三方 API Key 或与钱包相关的机密资讯，储存在非敏感环境变量中，这些机密现在极可能已经外泄。

开发者社群的知名人物 Theo Browne 也发文表示，消息来源指出 Vercel 内部的 Linear 和 GitHub 整合系统受到的影响最为严重。

图源：X/Theo Browne

过去加密货币领域的前端资安问题频传，包含 CoW Swap、Aerodrome 与 Velodrome 等专案都曾遭遇域名系统劫持，这类攻击通常透过将访客重新导向至钓鱼网站来窃取资产。

《The Block》指出，这次骇客案发生在托管与部署层，开启了全新的攻击面，完全绕过了域名系统监控。在最坏的情况下，攻击者可以直接篡改专案的实际建置的前端输出内容。

延伸阅读：
CoW Swap遭DNS劫持攻击！粗估用户损失百万美元，官方：别用前端网页