Vercel divulgué une faille de sécurité qui aurait pu exposer les clés API des clients, provoquant des rotations urgentes d’identifiants entre les projets de cryptographie. La violation provient d’une connexion Google Workspace compromise liée à l’outil d’IA tiers Context.ai. Vercel a précisé que les variables d’environnement sensibles sont stockées en toute sécurité, sans aucune preuve d’accès non autorisé.
L’incident est important car Vercel prend en charge de nombreuses applications Web3, notamment les interfaces de portefeuille et les tableaux de bord. De nombreuses équipes du secteur de la cryptographie, en particulier celles qui utilisent Vercel pour leur infrastructure frontale, examinent actuellement leur code pour détecter les vulnérabilités. Orca, une bourse basée sur Solana, a confirmé avoir alterné toutes les informations d’identification de déploiement par mesure de précaution tout en assurant aux utilisateurs que son protocole en chaîne et ses fonds ne restent pas affectés.
Les pirates peuvent avoir accédé à des configurations backend qui pourraient conduire à des expositions de clés API, a noté la société. Les clés API sont cruciales pour connecter les applications aux services critiques. Un forum de cybercriminels a affirmé avoir offert des données de Vercel pour 2 millions de dollars, y compris les clés d’accès et le code source, bien que Vercel n’ait pas confirmé l’authenticité de ces affirmations et travaille avec les forces de l’ordre et les sociétés de réponse aux incidents pour enquêter plus en profondeur.
Le PDG de Vercel a déclaré que la violation avait été activée grâce à l’utilisation de Context.ai par un employé, permettant aux attaquants d’accéder aux environnements internes de Vercel. Malgré les implications potentielles de la violation, Vercel maintient que ses méthodes de stockage des données sensibles les ont jusqu’à présent protégées de toute exposition.
Le moment de la violation de Vercel coïncide avec un exploit de 292 millions de dollars du jeton rsETH de Kelp DAO, déclenchant une crise de liquidité sur les plateformes financières décentralisées comme Aave. Avril est devenu un mois tumultueux pour la cryptographie, marqué par des exploits importants, notamment une attaque de 285 millions de dollars contre le protocole Drift basé sur Solana, soupçonné d’être lié à des acteurs nord-coréens.
LayerZero a identifié que l’exploit Kelp DAO de 290 millions de dollars provenait du choix de Kelp d’utiliser une configuration à vérificateur unique, contrairement aux recommandations multi-vérificateurs. Les attaquants ont compromis deux nœuds RPC et mené une attaque DDoS exploitant les vulnérabilités de l’architecture de Kelp.
