摘要:2026年4月,Vercel因第三方关联账户遭入侵引发安全警报。事件暴露前端托管层风险,虽无资金损失证据,但多家DeFi项目已启动凭证轮换。赎金说法尚未被官方证实,市场情绪持续承压。
币圈界报道:
Vercel披露2026年4月安全事件:前端托管链路遭渗透,影响范围有限
2026年4月19日,Vercel通报其系统遭遇未授权访问,公司随即启动应急响应机制,并向执法机构提交报告。声明指出,服务在事件期间保持稳定运行,初步评估显示仅有少数客户受到波及。
供应链漏洞始于停用AI工具的AWS配置失误
攻击路径起源于已终止服务的Context.ai AI Office Suite所关联的AWS环境异常。该平台确认,攻击者可能窃取了与某位Vercel员工Google Workspace账户绑定的OAuth令牌。
利用此权限,攻击者获取了部分非敏感环境变量的访问权。Vercel强调,目前尚无迹象表明关键部署密钥或API凭证遭到泄露,对依赖平台存储敏感信息的开发团队构成重要保障。
前端托管风险暴露:链上安全无法覆盖部署层威胁
此次事件揭示了一类传统审计难以覆盖的新型攻击面——前端界面托管环节的供应链攻击。大量去中心化金融协议采用Vercel作为其用户交互入口,若前端被植入恶意脚本,可在不修改链上代码的前提下诱导用户签署欺诈性交易指令。
Solana生态中的去中心化交易所Orca已主动执行部署凭证更换操作,确认其核心协议与用户资产未受损害。截至目前,尚无其他DeFi项目公开承认受影响。
以太坊生态中锁定的总价值已突破1058亿美元,反映出通过前端接入的智能合约背后所承载的庞大资本规模。当前态势更接近于潜在风险警示,而非实际漏洞利用,与过往基础设施级事件性质相近。
截至4月20日,加密市场整体恐惧与贪婪指数为29,处于风险规避区间。以太坊价格报2311.45美元,叠加政府监管行动与本次事件影响,市场情绪持续低迷。
两百万美元赎金传闻缺乏独立验证
有匿名渠道声称,攻击者曾在暗网论坛发布可访问Vercel系统的广告,并在即时通讯平台提出200万美元赎金要求。相关消息未获任何官方背书。
据称泄露的580条员工数据记录及内部仪表板截图均未得到独立核实。Vercel与Context.ai均未就赎金谈判或数据泄露情况发布正式声明。
截至发稿,仍未公布具体受影响的加密项目名单。已确认的仅限于非敏感环境变量的有限访问,与攻击者宣称的全面控制存在显著落差。
建议所有将前端托管于Vercel的DeFi团队密切跟进后续通知,关注是否出现前端篡改迹象。该事件正推动更多项目重新评估单一服务商依赖风险,探索多源基础设施部署方案以增强韧性。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。