Ataque de IA de terceiros invade a Vercel; Orca confirma a segurança do acordo de troca de chaves de emergência

A exchange descentralizada Orca anunciou em 20 de abril que concluiu uma substituição completa de chaves e credenciais em relação a um incidente de segurança na plataforma de desenvolvimento em nuvem Vercel, confirmando que seus contratos on-chain e os fundos dos usuários não foram afetados. A Vercel divulgou no domingo que o invasor obteve acesso a parte dos sistemas internos da plataforma por meio de uma ferramenta de IA de terceiros que integra o Google Workspace OAuth.

Caminho da invasão: vulnerabilidade de supply chain de IA OAuth, não um ataque direto ao próprio Vercel

(Fonte: Vercel)

A rota de ataque deste incidente não foi direcionada diretamente à Vercel, mas sim a uma ferramenta de IA de terceiros que havia sido comprometida em um evento de segurança anterior e de maior escala, usando as permissões de acesso via integração do Google Workspace OAuth para acessar os sistemas internos da Vercel. A Vercel afirmou que essa ferramenta anteriormente havia afetado centenas de usuários de várias organizações.

Esse tipo de vulnerabilidade de supply chain é difícil de ser identificado por monitoramento de segurança tradicional, porque explora serviços de integração confiáveis em vez de falhas diretas no código. O desenvolvedor Theo Browne apontou que a integração interna da Vercel com a Linear e o GitHub foi a mais afetada. As informações que o invasor poderia acessar incluem: chaves de acesso, código-fonte, registros de banco de dados e credenciais de implantação (incluindo tokens da NPM e do GitHub). A atribuição do incidente ainda não está clara; há relatos de que o vendedor teria solicitado resgate à Vercel, mas os detalhes das negociações não foram divulgados.

Riscos específicos da segurança em front-end criptográfico: ataque na camada de hospedagem vs. sequestro tradicional de DNS

Este incidente destaca uma superfície de ataque de longa data que foi negligenciada na segurança do front-end criptográfico:

Principais diferenças entre dois modos de ataque

Sequestro na camada de DNS: o invasor redireciona os usuários para um site falso, normalmente podendo ser detectado relativamente rápido por meio de ferramentas de monitoramento

Intrusão na camada de hospedagem (Build Pipeline): o invasor modifica diretamente o código de front-end entregue aos usuários; os usuários acessam o domínio correto, mas podem executar código malicioso sem perceber

No ambiente da Vercel, se as variáveis de ambiente não forem marcadas como “sensitive”, elas podem vazar. Para protocolos criptográficos, essas variáveis normalmente contêm informações críticas, como chaves de API, endpoints privados de RPC e credenciais de implantação. Uma vez vazadas, o invasor pode adulterar as versões implantadas, injetar código malicioso ou acessar serviços de back-end para realizar ataques mais amplos. A Vercel já incentivou os clientes a revisarem imediatamente as variáveis de ambiente e a habilitarem os recursos de proteção de variáveis sensíveis da plataforma.

Lições para a segurança do Web3: dependência de supply chain está virando um risco sistêmico

Este incidente não afetou apenas a Orca; ele também revelou para toda a comunidade Web3 um problema estrutural mais profundo: a dependência de projetos criptográficos de infraestrutura de nuvem centralizada e serviços de integração de IA está criando novas superfícies de ataque difíceis de defender. Quando qualquer serviço de terceiros confiável é comprometido, o invasor pode contornar as defesas tradicionais de segurança e impactar os usuários diretamente. A segurança do front-end criptográfico já ultrapassou o escopo de proteção de DNS e auditorias de contratos inteligentes; a gestão abrangente de segurança de plataformas em nuvem, pipelines de CI/CD e integrações de IA está se tornando uma camada de defesa que projetos Web3 não podem ignorar.

Perguntas frequentes

Qual foi o impacto deste incidente de segurança da Vercel para projetos criptográficos que usam Vercel?

A Vercel afirma que o número de clientes afetados é limitado e que os serviços da plataforma não foram interrompidos. Porém, como muitos front-ends DeFi, interfaces de DEX e páginas de conexão de carteiras são hospedados na Vercel, as equipes do projeto foram aconselhadas a revisar imediatamente as variáveis de ambiente, trocar quaisquer chaves que possam ter vazado e confirmar o status de segurança das credenciais de implantação (incluindo tokens da NPM e do GitHub).

O que significa, de forma concreta, “vazamento de variáveis de ambiente” no front-end criptográfico?

Variáveis de ambiente normalmente armazenam informações sensíveis, como chaves de API, endpoints privados de RPC e credenciais de implantação. Se esses valores vazarem, o invasor pode adulterar as implantações do front-end, injetar código malicioso (por exemplo, solicitações de autorização de carteira falsificadas) ou acessar serviços de conexão de back-end para realizar um ataque mais amplo, e o domínio que os usuários visitam ainda parece normal de forma superficial.

Os fundos dos usuários da Orca foram afetados por este incidente da Vercel?

A Orca confirmou claramente que seus contratos on-chain e os fundos dos usuários não foram afetados. Esta substituição de chaves foi uma medida preventiva por precaução, e não baseada em perdas de fundos confirmadas. Como a Orca adota uma arquitetura não custodial, mesmo que o front-end seja afetado, o controle de propriedade dos ativos on-chain continua nas mãos do próprio usuário.