Een losgeld van $2 miljoen en een crypto-beveiligingsschok — Inside de Vercel-hack

TLDR

• Vercel bevestigde ongeautoriseerde toegang tot interne systemen via een gecompromitteerde AI-tool van derden, Context.ai
• Een hacker op BreachForums biedt gestolen Vercel-gegevens aan voor $2 miljoen, inclusief API-sleutels en broncode
• Veel Web3-projecten hosten wallet-interfaces en app-frontends op Vercel, wat zorgen over blootstelling oproept
• Solana DEX Orca heeft uit voorzorg alle implementatie-credentials geroteerd; de on-chain fondsen waren niet getroffen
• Vercel zegt dat "gevoelige" omgevingsvariabelen waren versleuteld en er geen bewijs is dat ze zijn benaderd

Webinfrastructuurbedrijf Vercel bevestigde zondag een beveiligingslek nadat aanvallers ongeautoriseerde toegang kregen tot delen van zijn interne systemen. Het bedrijf zei dat een beperkt aantal klanten was getroffen en dat zijn diensten operationeel blijven.

De inbreuk begon via het account van een Vercel-medewerker. Dat account werd gecompromitteerd via Context.ai, een AI-tool van derden die de medewerker gebruikte. Van daaruit verplaatsten aanvallers zich via het Google Workspace-account van de medewerker naar de interne omgevingen van Vercel.

Vercel CEO Guillermo Rauch beschreef de aanvallers als "zeer geavanceerd" en zei dat ze zich met snelheid en diepgaande kennis van Vercel's systemen bewogen. Hij voegde eraan toe dat hij vermoedt dat AI de aanvallers mogelijk heeft geholpen sneller te bewegen.

Rauch bevestigde dat alle omgevingsvariabelen van klanten versleuteld worden opgeslagen. Variabelen die niet als "gevoelig" zijn gemarkeerd, konden echter door de aanvaller worden opgesomd. Hij adviseerde klanten om hun omgevingsvariabelen te controleren en alle variabelen die niet als gevoelig waren gemarkeerd te roteren.

Een bericht op cybercrimeforum BreachForums, gekoppeld aan een groep genaamd ShinyHunters, beweerde Vercel-gegevens te verkopen voor $2 miljoen. De vermelding omvatte toegangssleutels, broncode, databaserecords en interne implementatietokens. Deze beweringen zijn niet onafhankelijk geverifieerd. Leden gekoppeld aan de ShinyHunters-groep hebben betrokkenheid ontkend.

Waarom crypto-projecten alert zijn

Vercel wordt breed gebruikt in de Web3-ruimte. Teams die gedecentraliseerde apps, wallet-interfaces en DEX-frontends bouwen, hosten regelmatig op Vercel en slaan credentials op in omgevingsvariabelen. Een inbreuk op dit niveau zou API-sleutels kunnen blootleggen die frontends verbinden met blockchain-dataproviders en backend-diensten.

Solana-gebaseerde gedecentraliseerde exchange Orca bevestigde dat zijn frontend op Vercel draait. Het project zei dat het alle implementatie-credentials uit voorzorg heeft geroteerd, en dat zijn on-chain protocol en gebruikersfondsen niet in gevaar waren.

Ontwikkelaar Theo Browne, breed gevolgd in de softwaregemeenschap, zei dat zijn bronnen wezen op Vercel's interne Linear- en GitHub-integraties als de meest getroffen systemen.

Google's Mandiant-team helpt Vercel met het onderzoek. Vercel zei dat het ook contact heeft opgenomen met Context.ai om te helpen de volledige omvang van de inbreuk te bepalen.

April is een moeilijke maand geweest voor crypto-beveiliging

De Vercel-inbreuk komt tijdens wat een moeilijke periode is geweest voor de industrie. Een exploit van $292 miljoen van Kelp DAO's rsETH-token veroorzaakte wijdverspreide verstoring op DeFi-leenplatforms, waaronder Aave.

Eerder in april werd het Solana-gebaseerde perpetuals-protocol Drift leeggehaald van ongeveer $285 miljoen in een aanval die later werd gekoppeld aan Noord-Korea-geaffilieerde actoren.

Andere protocollen die deze maand werden getroffen zijn onder meer CoW Swap, Zerion, Rhea Finance en Silo Finance.

Vercel zei dat het onderzoek aan de gang is en dat het zijn beveiligingsbulletin zal bijwerken zodra er meer informatie beschikbaar komt. Geen grote crypto-projecten hebben op het moment van publicatie publiekelijk bevestigd dat ze door Vercel zijn gecontacteerd over de inbreuk.

Het bericht Een losgeld van $2 miljoen en een crypto-beveiligingsschrik — In de Vercel-hack verscheen eerst op CoinCentral.