去中心化交易所 Orca 于 4 月 20 日宣布,已针对云端开发平台 Vercel 安全事件完成全面的密钥和凭证轮替,确认其链上协议及用户资金未受影响。Vercel 于周日披露,攻击者通过一款与 Google Workspace OAuth 整合的第三方 AI 工具,存取了平台部分内部系统。
入侵路径:AI OAuth 供应链漏洞,而非直接攻击 Vercel 本身
(来源:Vercel)
此次事件的攻击路径并非直接针对 Vercel,而是通过一款已在此前更大规模安全事件中遭到入侵的第三方 AI 工具,利用其 Google Workspace OAuth 整合权限存取了 Vercel 的内部系统。Vercel 表示,该工具此前曾影响多家机构的数百名用户。
这类供应链漏洞难以被传统安全监控识别,因为它利用的是受信任的整合服务而非直接的代码漏洞。开发者 Theo Browne 指出,受影响最严重的是 Vercel 内部与 Linear 和 GitHub 的整合。攻击者可能存取的信息包括:存取密钥、源代码、数据库记录及部署凭证(包括 NPM 和 GitHub 令牌)。事件归属目前尚不明确;有报道称卖家曾向 Vercel 索取赎金,但谈判细节未获披露。
加密前端的特殊风险:托管层攻击 vs. 传统 DNS 劫持
此次事件凸显了加密前端安全中长期被忽视的攻击面:
两种攻击模式的关键差异
DNS 层劫持:攻击者将用户重定向至仿冒网站,通常可通过监控工具相对快速侦测
托管层(Build Pipeline)入侵:攻击者直接修改交付给用户的前端代码,用户访问的是正确域名,但可能在毫不知情的情况下运行恶意代码
在 Vercel 环境中,若环境变量未被标记为“sensitive”,可能遭到泄露。对于加密协议而言,这些变量通常包含 API 密钥、私有 RPC 端点和部署凭证等关键信息。一旦泄露,攻击者可能篡改部署版本、注入恶意代码,或存取后端服务以进行更广泛的攻击。Vercel 已敦促客户立即审查环境变量并启用平台的敏感变量保护功能。
对 Web3 安全的启示:供应链依赖正在成为系统性风险
此次事件不仅影响 Orca,更向整个 Web3 社群揭示了一个更深层的结构性问题:加密项目对集中式云端基础设施和 AI 整合服务的依赖,正在形成难以防御的新攻击面。当任何受信任的第三方服务遭到入侵时,攻击者可绕过传统安全防线直接影响用户。加密前端安全已超出 DNS 保护和智能合约审计的范畴,云端平台、CI/CD 管线和 AI 整合的全面安全管理,正成为 Web3 项目不可忽视的防御层级。
常见问题
此次 Vercel 安全事件对使用 Vercel 的加密项目有何影响?
Vercel 表示受影响客户数量有限,平台服务未中断。但由于大量 DeFi 前端、DEX 界面和钱包连接页面托管于 Vercel,项目方被建议立即审查环境变量、轮替可能泄露的密钥,并确认部署凭证(包括 NPM 和 GitHub 令牌)的安全状态。
“环境变量泄露”在加密前端中意味着什么具体风险?
环境变量通常存储 API 密钥、私有 RPC 端点和部署凭证等敏感信息。若这些值泄露,攻击者可能篡改前端部署、注入恶意代码(例如伪造的钱包授权请求),或存取后端连接服务以进行更广泛的攻击,同时用户访问的域名表面上仍显示正常。
Orca 用户的资金是否受到此次 Vercel 事件的影响?
Orca 明确确认,其链上协议和用户资金未受影响。此次密钥轮替是出于谨慎考量的预防措施,并非基于已确认的资金损失。由于 Orca 采用非托管架构,即便前端遭受影响,链上资产的所有权控制权仍由用户本人掌握。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
加密黑客推动华尔街代币化辩论
高调的加密货币漏洞利用测试了 DeFi 的风险,但不太可能扰乱代币化;机构更偏好许可链,而更广泛的代币化必须与 DeFi 互操作;稳定币面临审查,并可能引发监管反弹。
Crypto Frontier7小时前
Volo Protocol 在 Sui 黑客事件中损失 350 万美元,承诺吸收损失并冻结黑客资金
Gate News 消息,4月22日——Volo Protocol 是 Sui 上的收益金库运营方,昨日 (4月21日) 宣布,在一次 350 万美元的漏洞利用之后,它已经开始冻结被盗资产。黑客从 Volo Vaults 窃取了 WBTC、XAUm 和 USDG,标志着该领域在一个历史上异常严峻的月份里发生的最新一次重大的 DeFi 安全事故。
GateNews11小时前
法国家庭遭持械入侵后被迫在加密货币转账 $820K
Gate News 消息,4 月 22 日——根据 The Block 的报道,法国布列塔尼地区一个小镇普洛达尔梅泽奥(Ploudalmézeau)的一个家庭在周一 (4 月 20 日)遭到两名持械蒙面男子入侵。三名成年人被捆绑超过三个小时,并被迫将约 700,000 欧元 (约 820,000 美元) i
GateNews12小时前
DOJ 启动 OneCoin 诈骗受害者赔偿流程,已追回资产达 4000 万美元以上可供分配
Gate 新闻消息,4月22日——美国司法部已宣布启动针对 OneCoin 加密货币诈骗案受害者的赔偿流程,现已有超过 $40 百万美元的已追回资产可供分配。
该案由 Ruja 在 2014 年至 2019 年期间运营,
GateNews13小时前
因涉及 26 亿美元欺诈指控而遭起诉:AI16Z、ELIZAOS 创作者;从峰值暴跌 99.9% 的代币崩盘
联邦集体诉讼指控 AI16Z/ELIZAOS 通过虚假的 AI 说法和误导性营销实施价值 26 亿美元的加密诈骗;指称存在内线偏袒,并指控该自主系统系精心布置的;并寻求依据消费者保护法获得损害赔偿。
摘要:本报告介绍一份在 4 月 21 日提起的 SDNY(纽约南区联邦地区法院)联邦集体诉讼。原告指控 AI16Z 及其改名后的 ELIZAOS 发生 26 亿美元的加密诈骗,涉及虚假的 AI 说法与误导性营销。诉讼称该项目与 Andreessen Horowitz 存在“人为制造”的关联,且其并非真正的自主系统。报告还披露了 2025 年初的峰值估值、99.9% 的暴跌,以及约 4,000 个遭受损失的钱包;同时,内线人员获得了约 40% 的新增代币。原告寻求依据纽约与加利福尼亚消费者保护法获得损害赔偿及衡平救济。韩国监管机构以及多家主要交易所已对相关交易发出警告或暂停相关交易。
GateNews14小时前
SlowMist 警报:正在活跃的 MacSync Stealer macOS 恶意软件,针对加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的恶意信息窃取程序,会窃取钱包、凭据、钥匙串以及基础设施密钥,并通过伪造的 AppleScript 提示和虚假的“不支持”错误来实施;敦促保持谨慎并提高对 IOCs 的意识。
摘要:本报告概述了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意程序是一种 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并显示可见的虚假“不支持”消息。SlowMist 向客户提供 IOCs,并建议避免执行未经验证的 macOS 脚本,同时对异常的密码提示保持警惕。
GateNews15小时前
