تم اختراق Vercel بواسطة ذكاء اصطناعي تابع لجهة خارجية، وOrca يؤكد بروتوكول الأمان لتبديل مفاتيح الطوارئ بشكل عاجل

أعلنت بورصة الأوركا اللامركزية Orca في 20 أبريل/نيسان أنها أكملت بالكامل عملية تبديل مفاتيح وشهادات الأمان المتعلقة بواقعة أمنية على منصة التطوير المستضافة Vercel، بما يؤكد أن اتفاقياتها على السلسلة وأموال المستخدمين لم تتأثر. وكشفت Vercel يوم الأحد أنه تمكّن المهاجمون من الوصول إلى بعض الأنظمة الداخلية الخاصة بالمنصة عبر أداة ذكاء اصطناعي طرف ثالث تتكامل مع OAuth الخاص بـ Google Workspace.

مسار الاختراق: ثغرة في سلسلة توريد OAuth الخاصة بالذكاء الاصطناعي، وليست هجومًا مباشرًا على Vercel نفسه

（المصدر：Vercel）

لم يكن مسار هجوم هذه الواقعة يستهدف Vercel بشكل مباشر، بل جاء عبر أداة ذكاء اصطناعي طرف ثالث تم اختراقها في وقت سابق ضمن حادث أمن أكبر نطاقًا، والتي استخدمت أذونات تكاملها مع Google Workspace OAuth للوصول إلى الأنظمة الداخلية الخاصة بـ Vercel. وذكرت Vercel أن هذه الأداة كانت قد أثرت سابقًا على مئات المستخدمين من عدة جهات.

يصعب رصد ثغرات سلسلة التوريد هذه عبر أنظمة المراقبة الأمنية التقليدية، لأنها تستغل خدمة تكامل موثوقة بدلًا من ثغرة مباشرة في الشيفرة. وأشار المطوّر Theo Browne إلى أن أشد الأنظمة تأثرًا كانت التكاملات الداخلية في Vercel مع Linear وGitHub. وقد تشمل المعلومات التي قد يتمكن المهاجمون من الوصول إليها: مفاتيح الوصول، والشيفرة المصدرية، وسجلات قواعد البيانات، وشهادات النشر (بما في ذلك رموز NPM ورموز GitHub). ولا يزال تصنيف الواقعة غير واضح حتى الآن؛ إذ ذكرت تقارير أن البائعين كانوا قد طلبوا فدية من Vercel، لكن تفاصيل المفاوضات لم تُكشف.

مخاطر خاصة في الواجهات الأمامية المشفّرة: هجوم طبقة الاستضافة مقابل اختطاف DNS التقليدي

تُبرز هذه الواقعة سطحًا هجوميًا كان طويلًا ما يُهمَل في أمن الواجهات الأمامية المشفّرة:

الفرق الرئيسي بين نمطَي الهجوم

اختطاف طبقة DNS: يعيد المهاجمون توجيه المستخدمين إلى مواقع مزيفة، وغالبًا ما يمكن اكتشاف ذلك بسرعة نسبيًا عبر أدوات المراقبة

اختراق طبقة الاستضافة (Build Pipeline): يقوم المهاجمون بتعديل شيفرة الواجهة الأمامية التي تُسلَّم للمستخدمين مباشرةً، ويظل المستخدمون يصلون إلى النطاق الصحيح، لكن قد يتم تشغيل شيفرة خبيثة دون علم المستخدمين

في بيئة Vercel، إذا لم تكن متغيرات البيئة موسومة على أنها «sensitive»، فقد تتعرض للتسريب. وبالنسبة لبروتوكولات التشفير، تحتوي هذه المتغيرات عادةً على معلومات حساسة حاسمة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. بمجرد تسريبها، قد يتمكن المهاجمون من العبث بالإصدارات المُنشرَة وحقن شيفرة خبيثة، أو الوصول إلى خدمات الخلفية لتنفيذ هجمات أوسع. وقد حثّت Vercel عملاءها على الفور على مراجعة متغيرات البيئة وتفعيل ميزات حماية المتغيرات الحساسة في المنصة.

دروس لـ Web3 في مجال الأمن: الاعتماد على سلسلة التوريد يتحول إلى خطر منهجي

لم تؤثر هذه الواقعة على Orca وحدها، بل كشفت أيضًا للمجتمع الواسع لـ Web3 عن مشكلة بنيوية أعمق: اعتماد مشاريع التشفير على البنية التحتية السحابية المركزية وخدمات تكامل الذكاء الاصطناعي يكوّن أسطح هجوم جديدة يصعب الدفاع عنها. عندما يتم اختراق أي خدمة طرف ثالث موثوقة، يمكن للمهاجمين تجاوز خطوط الدفاع الأمنية التقليدية والتأثير مباشرةً على المستخدمين. لقد تجاوز أمن الواجهات الأمامية المشفرة نطاق حماية DNS ومراجعات تدقيق العقود الذكية؛ إذ أصبحت الإدارة الأمنية الشاملة للمنصات السحابية وخطوط CI/CD وتكاملات الذكاء الاصطناعي تشكل طبقة دفاع لا يمكن تجاهلها لمشاريع Web3.

الأسئلة الشائعة

ما تأثير حادث أمان Vercel هذا على المشاريع التشفيرية التي تستخدم Vercel؟

تقول Vercel إن عدد العملاء المتأثرين محدود، وأن خدمات المنصة لم تتوقف. لكن نظرًا لأن الواجهة الأمامية لكثير من DeFi وواجهات DEX وصفحات ربط المحافظ تُستضاف على Vercel، فقد طُلب من الجهات المعنية مراجعة متغيرات البيئة على الفور، والتأكد من حالة الأمان لشهادات النشر (بما في ذلك رموز NPM ورموز GitHub)، واستبدال أي مفاتيح قد تكون قد تم تسريبها.

ما المخاطر المحددة التي تعنيها «عملية تسريب متغيرات البيئة» في الواجهات الأمامية المشفرة؟

تقوم متغيرات البيئة عادةً بتخزين معلومات حساسة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. إذا تسربت هذه القيم، فقد يقوم المهاجمون بتعديل نشر الواجهة الأمامية، وحقن شيفرة خبيثة (مثل طلبات تفويض للمحفظة مزيفة)، أو الوصول إلى خدمات ربط الخلفية لتنفيذ هجوم أكثر شمولًا، بينما لا يزال اسم النطاق الذي يزوره المستخدمون يظهر بشكل طبيعي من الواجهة.

هل تأثرت أموال مستخدمي Orca بهذه الواقعة على Vercel؟

تؤكد Orca بشكل واضح أن بروتوكولاتها على السلسلة وأموال المستخدمين لم تتأثر. وكان تبديل المفاتيح في هذه الواقعة إجراءً وقائيًا بحسابات حذرة، وليس استنادًا إلى خسائر أموال مؤكدة. وبسبب اعتماد Orca لبنية غير مُحكَمة (non-custodial)، حتى في حال تعرض الواجهة الأمامية للتأثير، يظل التحكم في ملكية الأصول على السلسلة بيد المستخدم نفسه.