云开发平台 Vercel 周日表示，攻击者未经授权访问了其部分内部基础设施，这一事件可能会对在该服务上托管前端的许多加密项目产生连锁反应。

　　 在安全公告该公司表示，已联系外部应急响应人员并通知执法部门。Vercel公司称，受影响的客户数量有限，目前正在直接联系这些客户，其服务仍正常运行。

　　 Vercel 表示：“我们的调查显示，该事件源于一款第三方人工智能工具，其 Google Workspace OAuth 应用遭到了更广泛的攻击，可能影响到许多组织中的数百名用户。”

　　 据BleepingComputer此次披露源于网络犯罪交易平台BreachForums上的一则帖子，一位名为ShinyHunters的卖家声称以200万美元的价格出售Vercel的内部数据。发帖人列出了访问密钥、源代码、数据库记录以及包括NPM和GitHub令牌在内的内部部署凭证。目前，发帖人的说法尚未得到独立核实。

　　 据作为证据分享的样本包含约 580 条员工记录，包括姓名、公司电子邮件地址、帐户状态和活动时间戳，以及内部仪表板的屏幕截图。

　　 事件归属仍未确定。BleepingComputer 报道称，与 ShinyHunters 核心勒索团伙有关联的成员否认参与了 Vercel 事件。攻击者还告诉该媒体，他们曾就 200 万美元赎金一事与 Vercel 联系，但该公司尚未公开证实任何谈判。

　　 开发者西奥·布朗在软件开发社区拥有广泛的关注度，在 X 上写道据他的消息来源称，Vercel 内部的 Linear 和 GitHub 集成系统受影响最为严重。他还补充说，Vercel 中标记为敏感的环境变量受到保护，但未标记的环境变量应作为预防措施进行轮换。

　　 该指导意见与Vercel自身的建议一致，即客户应审查环境变量并使用其……敏感变量特征.

　　 加密货币的风险敞口 此次泄露事件对加密货币领域影响重大。Web3 团队通常会在 Vercel 上部署钱包界面、DEX 前端和 DApp 控制面板，任何将私有 RPC 端点、第三方 API 密钥或钱包相关密钥存储在普通环境变量中的项目，现在都可能需要将这些密钥视为已泄露。

　　 前端妥协在该领域已是一个反复出现的问题。DEX聚合器CoW Swap上周暂停交易在一次域名劫持事件中，Aerodrome 和 Velodrome 都……遭受 DNS 劫持11 月份。EasyDNS 就在昨天承认有罪针对 eth.limo 项目的 DNS 劫持攻击。这类攻击通常通过将访问者重定向到注册商或 DNS 层上的窃取钱包资金的克隆网站来实现。

　　 如果在托管和部署层做出妥协，将会打开一个不同的攻击面，这个攻击面完全绕过了 DNS 监控，在最坏的情况下，可能会篡改项目的实际构建输出，而不仅仅是其域名指向的位置。

　　 目前尚不清楚攻击者是如何入侵 Vercel 的，也不清楚是否有任何面向客户的部署被篡改。Vercel 表示，调查仍在进行中，并将随着更多信息的披露更新公告。截至发稿时，尚无任何知名加密货币项目公开承认曾就此漏洞与 Vercel 联系过。