第三方 AI 入侵 Vercel,Orca 緊急輪替金鑰確認協議安全
去中心化交易所 Orca 於 4 月 20 日宣布,已針對雲端開發平台 Vercel 安全事件完成全面的金鑰和憑證輪替,確認其鏈上協議及用戶資金未受影響。Vercel 於週日披露,攻擊者透過一款與 Google Workspace OAuth 整合的第三方 AI 工具,存取了平台部分內部系統。
入侵路徑:AI OAuth 供應鏈漏洞,非直接攻擊 Vercel 本身
(來源:Vercel)
此次事件的攻擊路徑並非直接針對 Vercel,而是透過一款已在早前更大規模安全事件中遭到入侵的第三方 AI 工具,利用其 Google Workspace OAuth 整合許可權存取了 Vercel 的內部系統。Vercel 表示,該工具此前曾影響多家機構的數百名用戶。
這種供應鏈漏洞難以被傳統安全監控識別,因為它利用的是受信任的整合服務而非直接的程式碼漏洞。開發者 Theo Browne 指出,受影響最嚴重的是 Vercel 內部與 Linear 和 GitHub 的整合。攻擊者可能存取的資訊包括:存取金鑰、原始程式碼、資料庫記錄及部署憑證(包括 NPM 和 GitHub 令牌)。事件歸屬目前尚不明確;有報道稱賣家曾向 Vercel 索取贖金,但談判詳情未獲披露。
加密前端的特殊風險:託管層攻擊 vs. 傳統 DNS 劫持
此次事件凸顯了加密前端安全中長期被忽視的攻擊面:
兩種攻擊模式的關鍵差異
DNS 層劫持:攻擊者將用戶重定向至仿冒網站,通常可透過監控工具相對快速偵測
託管層(Build Pipeline)入侵:攻擊者直接修改交付給用戶的前端程式碼,用戶訪問的是正確域名,但可能在毫不知情的情況下運行惡意代碼
在 Vercel 環境中,若環境變數未被標記為「sensitive」,可能遭到洩露。對加密協議而言,這些變數通常包含 API 金鑰、私有 RPC 端點和部署憑證等關鍵信息。一旦洩露,攻擊者可能篡改部署版本、注入惡意代碼,或存取後端服務進行更廣泛的攻擊。Vercel 已敦促客戶立即審查環境變數並啟用平台的敏感變數保護功能。
對 Web3 安全的啟示:供應鏈依賴正成為系統性風險
此次事件不僅影響 Orca,更向整個 Web3 社群揭示了一個更深層的結構性問題:加密項目對集中式雲端基礎設施和 AI 整合服務的依賴,正在形成難以防禦的新攻擊面。當任何受信任的第三方服務遭到入侵時,攻擊者可繞過傳統安全防線直接影響用戶。加密前端安全已超出 DNS 保護和智能合約審計的範疇,雲端平台、CI/CD 管線和 AI 整合的全面安全管理,正成為 Web3 項目不可忽視的防禦層級。
常見問題
此次 Vercel 安全事件對使用 Vercel 的加密項目有何影響?
Vercel 表示受影響客戶數量有限,平台服務未中斷。但由於大量 DeFi 前端、DEX 界面和錢包連接頁面託管於 Vercel,項目方被建議立即審查環境變數、輪替可能洩露的密鑰,並確認部署憑證(包括 NPM 和 GitHub 令牌)的安全狀態。
「環境變數洩露」在加密前端中意味著什麼具體風險?
環境變數通常儲存 API 金鑰、私有 RPC 端點和部署憑證等敏感信息。若這些值洩露,攻擊者可能篡改前端部署、注入惡意代碼(例如偽造的錢包授權請求),或存取後端連接服務進行更廣泛的攻擊,且用戶訪問的域名表面上仍顯示正常。
Orca 用戶的資金是否受到此次 Vercel 事件的影響?
Orca 明確確認,其鏈上協議和用戶資金未受影響。此次金鑰輪替是出於謹慎考慮的預防措施,並非基於已確認的資金損失。由於 Orca 採取非託管架構,即使前端遭受影響,鏈上資產的所有權控制權仍由用戶本人掌握。
相關文章