A exchange descentralizada Orca anunciou em 20 de abril que concluiu uma substituição completa de chaves e credenciais em relação a um incidente de segurança na plataforma de desenvolvimento em nuvem Vercel, confirmando que seus contratos on-chain e os fundos dos usuários não foram afetados. A Vercel divulgou no domingo que o invasor obteve acesso a parte dos sistemas internos da plataforma por meio de uma ferramenta de IA de terceiros que integra o Google Workspace OAuth.
Caminho da invasão: vulnerabilidade de supply chain de IA OAuth, não um ataque direto ao próprio Vercel
(Fonte: Vercel)
A rota de ataque deste incidente não foi direcionada diretamente à Vercel, mas sim a uma ferramenta de IA de terceiros que havia sido comprometida em um evento de segurança anterior e de maior escala, usando as permissões de acesso via integração do Google Workspace OAuth para acessar os sistemas internos da Vercel. A Vercel afirmou que essa ferramenta anteriormente havia afetado centenas de usuários de várias organizações.
Esse tipo de vulnerabilidade de supply chain é difícil de ser identificado por monitoramento de segurança tradicional, porque explora serviços de integração confiáveis em vez de falhas diretas no código. O desenvolvedor Theo Browne apontou que a integração interna da Vercel com a Linear e o GitHub foi a mais afetada. As informações que o invasor poderia acessar incluem: chaves de acesso, código-fonte, registros de banco de dados e credenciais de implantação (incluindo tokens da NPM e do GitHub). A atribuição do incidente ainda não está clara; há relatos de que o vendedor teria solicitado resgate à Vercel, mas os detalhes das negociações não foram divulgados.
Riscos específicos da segurança em front-end criptográfico: ataque na camada de hospedagem vs. sequestro tradicional de DNS
Este incidente destaca uma superfície de ataque de longa data que foi negligenciada na segurança do front-end criptográfico:
Principais diferenças entre dois modos de ataque
Sequestro na camada de DNS: o invasor redireciona os usuários para um site falso, normalmente podendo ser detectado relativamente rápido por meio de ferramentas de monitoramento
Intrusão na camada de hospedagem (Build Pipeline): o invasor modifica diretamente o código de front-end entregue aos usuários; os usuários acessam o domínio correto, mas podem executar código malicioso sem perceber
No ambiente da Vercel, se as variáveis de ambiente não forem marcadas como “sensitive”, elas podem vazar. Para protocolos criptográficos, essas variáveis normalmente contêm informações críticas, como chaves de API, endpoints privados de RPC e credenciais de implantação. Uma vez vazadas, o invasor pode adulterar as versões implantadas, injetar código malicioso ou acessar serviços de back-end para realizar ataques mais amplos. A Vercel já incentivou os clientes a revisarem imediatamente as variáveis de ambiente e a habilitarem os recursos de proteção de variáveis sensíveis da plataforma.
Lições para a segurança do Web3: dependência de supply chain está virando um risco sistêmico
Este incidente não afetou apenas a Orca; ele também revelou para toda a comunidade Web3 um problema estrutural mais profundo: a dependência de projetos criptográficos de infraestrutura de nuvem centralizada e serviços de integração de IA está criando novas superfícies de ataque difíceis de defender. Quando qualquer serviço de terceiros confiável é comprometido, o invasor pode contornar as defesas tradicionais de segurança e impactar os usuários diretamente. A segurança do front-end criptográfico já ultrapassou o escopo de proteção de DNS e auditorias de contratos inteligentes; a gestão abrangente de segurança de plataformas em nuvem, pipelines de CI/CD e integrações de IA está se tornando uma camada de defesa que projetos Web3 não podem ignorar.
Perguntas frequentes
Qual foi o impacto deste incidente de segurança da Vercel para projetos criptográficos que usam Vercel?
A Vercel afirma que o número de clientes afetados é limitado e que os serviços da plataforma não foram interrompidos. Porém, como muitos front-ends DeFi, interfaces de DEX e páginas de conexão de carteiras são hospedados na Vercel, as equipes do projeto foram aconselhadas a revisar imediatamente as variáveis de ambiente, trocar quaisquer chaves que possam ter vazado e confirmar o status de segurança das credenciais de implantação (incluindo tokens da NPM e do GitHub).
O que significa, de forma concreta, “vazamento de variáveis de ambiente” no front-end criptográfico?
Variáveis de ambiente normalmente armazenam informações sensíveis, como chaves de API, endpoints privados de RPC e credenciais de implantação. Se esses valores vazarem, o invasor pode adulterar as implantações do front-end, injetar código malicioso (por exemplo, solicitações de autorização de carteira falsificadas) ou acessar serviços de conexão de back-end para realizar um ataque mais amplo, e o domínio que os usuários visitam ainda parece normal de forma superficial.
Os fundos dos usuários da Orca foram afetados por este incidente da Vercel?
A Orca confirmou claramente que seus contratos on-chain e os fundos dos usuários não foram afetados. Esta substituição de chaves foi uma medida preventiva por precaução, e não baseada em perdas de fundos confirmadas. Como a Orca adota uma arquitetura não custodial, mesmo que o front-end seja afetado, o controle de propriedade dos ativos on-chain continua nas mãos do próprio usuário.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Hackeamentos Cripto Impulsionam Debate sobre Tokenização na Wall Street
Explorações cripto de alto perfil testam o risco do DeFi, embora seja improvável que desfaçam a tokenização; instituições preferem cadeias permissionadas, enquanto a tokenização mais ampla deve interoperar com o DeFi; stablecoins enfrentam escrutínio e possível reação regulatória.
CryptoFrontier1h atrás
Volo Protocol perde US$ 3,5M em hack na Sui, se compromete a absorver prejuízos e a congelar fundos do hacker
Mensagem de notícias da Gate, 22 de abril — A Volo Protocol, operadora de um cofre de rendimentos na Sui, anunciou ontem (21 de abril) que começou a congelar ativos roubados após um exploit de US$ 3,5 milhões. Hackers saquearam WBTC, XAUm e USDG das Volo Vaults, marcando a mais recente grande violação de segurança em DeFi em um
GateNews5h atrás
Família Francesa Forçada a Transferir $820K em Cripto Após Invasão Arm ada em Casa
Mensagem da Gate News, 22 de abril — Uma família em Ploudalmézeau, uma pequena cidade na Bretanha, França, foi invadida por dois homens armados com máscaras na segunda-feira (20 de abril), de acordo com a apuração do The Block. Três adultos foram amarrados por mais de três horas e forçados a transferir aproximadamente 700.000 euros (cerca de US$ 820.000) i
GateNews6h atrás
DOJ Lança Processo de Compensação para Vítimas da Fraude OneCoin, US$ 40M+ em Ativos Recuperados Disponíveis
Mensagem do Gate News, 22 de abril — O Departamento de Justiça dos EUA anunciou o lançamento de um processo de compensação para vítimas do esquema de fraude com a criptomoeda OneCoin, com mais de $40 milhões em ativos recuperados agora disponíveis para distribuição.
O esquema, operado entre 2014 e 2019 por Ruja
GateNews7h atrás
Criadores da AI16Z e da ELIZAOS Processados por Alegações de Fraude de US$ 2,6 bi; Queda de Tokens de 99,9% a Partir do Pico
Uma ação civil pública federal acusa a AI16Z/ELIZAOS de uma fraude cripto de US$ 2,6 bilhões por meio de alegações falsas de IA e marketing enganoso, alegando favoritismo por parte de insiders e um sistema autônomo encenado; busca indenizações sob leis de proteção ao consumidor.
Resumo: Este relatório aborda uma ação civil pública federal em uma corte distrital federal de Nova York (SDNY) protocolada em 21 de abril, acusando a AI16Z e seu rebranding, ELIZAOS, de uma fraude cripto de US$ 2,6 bilhões envolvendo alegações falsas de IA e marketing enganoso. A ação alega uma associação fabricada com Andreessen Horowitz e um sistema não autônomo. O caso detalha uma valorização de pico no início de 2025, uma queda de 99,9% e cerca de 4.000 carteiras perdedoras, com insiders recebendo cerca de 40% dos novos tokens. Os autores buscam indenizações e medidas de equidade sob as leis de proteção ao consumidor de Nova York e da Califórnia. Reguladores na Coreia e grandes exchanges já alertaram ou suspenderam negociações relacionadas.
GateNews8h atrás
Alertas da SlowMist: Malware Ativo para macOS do MacSync Stealer Mirando Usuários de Cripto
SlowMist alerta sobre o MacSync Stealer (v1.1.2) para macOS, um ladrão de informações que rouba carteiras, credenciais, keychains e chaves de infraestrutura, usando prompts de AppleScript falsificados e erros falsos de "não suportado"; exorta cautela e conscientização dos IOCs.
Resumo: Este relatório resume o alerta da SlowMist sobre o MacSync Stealer (v1.1.2), um ladrão de informações para macOS que mira carteiras de criptomoeda, credenciais do navegador, keychains do sistema e chaves de infraestrutura (SSH, AWS, Kubernetes). Ele engana os usuários com diálogos falsificados de AppleScript que solicitam senhas e mensagens falsas visíveis de "não suportado". A SlowMist fornece IOCs aos clientes e aconselha evitar scripts de macOS não verificados e manter-se vigilante quanto a prompts incomuns de senha.
GateNews9h atrás
