摘要:知名云平台Vercel确认系统遭入侵,攻击者通过员工账户渗透并威胁勒索200万美元。事件波及广泛使用的Next.js框架,引发去中心化金融生态严重担忧,行业专家紧急呼吁暂停交互。
币圈界报道:
核心基础设施遭袭,加密行业面临供应链信任危机
当地时间13日,全球知名开发平台Vercel公开承认其内部系统遭遇恶意入侵,导致依赖其服务的去中心化金融生态陷入临时瘫痪。作为Next.js的创始团队,Vercel长期支撑众多加密应用的部署与运行,此次安全事件暴露出代码供应链环节的深层脆弱性,引发业界对整体生态稳定性的广泛忧虑。
攻击路径始于员工账户被突破
据首席执行官吉列尔莫·劳赫披露,本次入侵起源于一名员工卷入第三方AI平台Context.ai的安全漏洞事件。攻击者利用该员工的谷歌工作空间凭证逐步横向移动,最终获得对Vercel企业环境的越权访问权限。劳赫特别指出,人工智能技术在攻击链构建中发挥了关键作用,显著提升了入侵效率与隐蔽性。
勒索威胁浮现,泄露内容尚待验证
有匿名销售方在暗网论坛BreachForums上声称掌握此次事件相关数据,并提出200万美元赎金要求。其宣称资料包含大量GitHub令牌,可能影响多个开源项目。然而,目前公布的截图与信息真实性仍处于核实阶段,尚未形成确凿证据链。
DeFi应用面临资金被盗风险
此次事件对去中心化金融领域构成直接威胁。若用户从受污染的Next.js包中下载并执行代码,其交易签名过程可能被劫持,导致资产被非法转移至攻击者钱包。Vercel已在周日发布安全通告,确认存在对部分内部系统的未授权访问行为,并已启动与执法机构的联合调查程序。
技术领袖紧急警示用户避险
Corp Protocol首席技术官“Pibast”在社交媒体上发出高危警告:“未来48小时内请立即停止所有DeFi交互操作。”他强调,由于大量去中心化服务托管于Vercel平台,普通用户正成为此类供应链攻击的核心目标群体。
影响规模持续蔓延,隐患难以估量
劳赫透露,Next.js在2025年已累计下载超5.2亿次。因其广泛集成于钱包前端、仪表盘界面及代币发行工具中,一旦攻击者获取合法凭证,极有可能向下游项目注入恶意代码,造成连锁式破坏,潜在影响范围远超预期。
应急机制启动,行业反思深化
Vercel表示已引入谷歌旗下Mandiant事故响应团队协助排查,并强调当前仅少数特定客户受到直接影响,整体服务维持基本可用状态。但此次事件再次凸显加密行业对少数关键基础设施的高度依赖,促使监管与开发者重新审视代码供应链安全标准,推动建立更透明、可审计的分发机制。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。