Achten Sie auf den Inhalt der Signatur! Vercel wurde mit 2 Millionen US-Dollar erpresst, die Frontend-Sicherheit des Krypto-Protokolls schlägt Alarm

Die Cloud-Entwicklungsplattform Vercel wurde am 19. April von Hackern angegriffen. Die Angreifer erlangten durch ein von Mitarbeitern genutztes externes KI-Tool Zugriff und sollen offenbar in einem Forum gestohlene Daten zum Verkauf angeboten haben – der Preis lag bei bis zu 2 Millionen US-Dollar. Da viele Krypto-Projekte Wallet-Interfaces und dApp-Frontends auf Vercel deployen, sorgt der Vorfall auch in der Krypto-Community für große Besorgnis.

Ursprung des Angriffs: Das OAuth externer KI-Tools von Mitarbeitern wurde kompromittiert

In einer offiziellen Sicherheitsmitteilung erklärte Vercel, dass eine von einem Mitarbeiter verwendete externe KI-Tool Context.ai zugehörige Google-Workspace-OAuth-Anwendung kompromittiert worden sei. Die Angreifer konnten damit das Google-Workspace-Konto des Mitarbeiters übernehmen und anschließend in interne Vercel-Daten eindringen.

Vercel-CEO Guillermo Rauch gab auf X bekannt, dass sich dieser Angriff möglicherweise auf Hunderte von Organisationen auswirken könnte, die dasselbe Tool nutzen, und nicht nur auf Vercel.

Rauch bezeichnete den Angriffsplan der Hacker als „hochgradig präzise“ und vermutet, dass die Gegenseite mithilfe von KI die Eindringaktion erheblich optimiert habe, was ein tiefes Verständnis für die interne Architektur von Vercel zeige. Derzeit unterstützt das von Google beheimatete Unternehmen für Cybersicherheit Mandiant die Untersuchung, und Vercel hat die zuständigen Strafverfolgungsbehörden informiert.

Mitglieder der Hackerorganisation veröffentlichten Lösegeldforderung über 2 Millionen US-Dollar

Vercel räumte ein, dass sensible Daten in verschlüsselter Form gespeichert werden und nicht abgerufen wurden; jedoch könnten andere Daten, die nicht als „sensibel“ gekennzeichnet sind, von den Angreifern gelesen und genutzt worden sein.

Screenshot eines Forum-Posts, der sich auf Telegram verbreitet

Eine Person, die behauptet, mit der Hackerorganisation ShinyHunters in Verbindung zu stehen, veröffentlichte im Cybercrime-Forum BreachForums einen Post. Darin heißt es, man habe Vercel-API-Schlüssel, NPM-Token, GitHub-Token, den Quellcode und Inhalte der internen Datenbank erhalten und etwa 580 Datensätze von Mitarbeitern als „beweis für einen Einbruch“ veröffentlicht. Dazu gehören Name der Mitarbeiter, Firmen-E-Mail, Kontostatus und Aktivitätszeiten.

ShinyHunters bestreitet eine Beteiligung, wahre Hintergründe der Lösegeldverhandlung unklar

Unfassbar ist, dass der Verfasser zwar behauptet, von ShinyHunters zu stammen, doch die Organisation, die an dem Vorfall angeblich beteiligt gewesen sein soll, hat die Teilnahme an dem Ereignis bereits öffentlich dementiert – weshalb die wahre Identität des Angreifers unklar bleibt.

Der Angreifer behauptet außerdem, man habe über Telegram und Vercel Kontakt wegen des Lösegelds in Höhe von 2 Millionen US-Dollar aufgenommen und fordere, zunächst 500.000 US-Dollar in Bitcoin zu zahlen, um einen Teil der Daten zurückzubekommen; Vercel habe dies jedoch nicht bestätigt.

Kryptovertrag mit rotem Licht: Frontend wird zur Lieferketten- Angriffsfläche

Die Auswirkungen des Vercel-Vorfalls auf den Kryptobereich dürfen nicht unterschätzt werden. Viele Dezentralisierte-Exchange- (DEX) - sowie Wallet-Frontend-Interfaces und dApp-Dashboards sind auf Vercel deployt. Wenn private RPC-Endpunkte relevanter Krypto-Projekte, Drittanbieter-API-Schlüssel oder wallet-bezogene Geheimnisse in Daten gespeichert wurden, die nicht als „sensibel“ gekennzeichnet sind, könnten diese Informationen offengelegt worden sein.

For context, a lot of DeFi is hosted on Vercel and crypto users are a prime target for such attack.

If you need to use DeFi in this time of crisis, verifying what you sign is of utmost importance! You can also use .eth.limo (just hacked but back up and running) or IPFS frontend…

— Pybast (@Pybast) April 19, 2026

Einfach gesagt: Theoretisch könnte der Angreifer direkt die Website und die Interfaces des Projekts manipulieren, zum Klicken und zum Signieren bösartiger Smart Contracts verleiten – und nicht nur Domains auf Phishing-Websites umleiten, um damit die Überwachungs- und Schutzmaßnahmen auf DNS-Ebene vollständig zu umgehen. Aktuell hat noch keine Vereinbarung wegen dessen von einem Schaden berichtet, aber die Sicherheitsteams verschiedener Anbieter haben dies bereits als potenziell schwerwiegendes Risiko eingestuft.

Tatsächlich ist das Problem der Frontend-Sicherheit in der Krypto-Branche schon lange ein wiederkehrendes Thema. DEX CoW Swap hat in der vergangenen Woche erst wegen Domain-Hijacking den Handel ausgesetzt, und Aerodrome sowie Velodrome waren im vergangenen November ebenfalls von einem DNS-Hijacking-Angriff betroffen.

Vercel veröffentlicht Daten-Update und fordert Nutzer auf, Schlüssel sofort zu wechseln

Vercel erklärte, dass der Dienst des Unternehmens derzeit normal läuft und die Untersuchung noch andauert, während man zugleich das Datenverwaltungs-Dashboard aktualisiert. Offiziell wird dringend empfohlen, dass alle Nutzer ihre bestehenden Daten sofort vollständig überprüfen, Schlüssel für alle Daten austauschen, die nicht als „sensibel“ markiert sind, und die Funktion für sensible Variablen auf der Plattform aktivieren, damit die relevanten Credentials verschlüsselt gespeichert werden.

Dieser Artikel Achten Sie auf den Inhalt der Signatur! Vercel wurde erpresst – 2 Millionen US-Dollar, Sicherheitsalarm für das Frontend von Krypto-Protokollen – erschien zuerst in Chain News ABMedia.