オーカ（Orca）は4月20日、クラウド開発プラットフォームのVercelに関するセキュリティ事案について、鍵と認証情報の全面的なローテーションを完了したと発表し、その結果、オンチェーンの契約およびユーザー資金への影響がないことを確認した。Vercelは日曜日に明らかにし、攻撃者がGoogle Workspace OAuthと統合されたサードパーティのAIツールを通じて、プラットフォームの一部の社内システムにアクセスしたとした。

侵入経路：AI OAuthのサプライチェーンの脆弱性であり、Vercel本体への直接攻撃ではない

（出所：Vercel）

今回の事案の攻撃経路はVercelを直接狙ったものではなく、先により大規模なセキュリティ事案で侵害されていたサードパーティのAIツールを介して、Google Workspace OAuthの統合許可権限を利用し、Vercelの社内システムにアクセスしたものだという。Vercelによれば、このツールはそれ以前にも複数の機関において数百人規模のユーザーに影響を与えていた。

この種のサプライチェーンの脆弱性は、信頼された統合サービスを利用する一方で、直接のコードの脆弱性を突くわけではないため、従来のセキュリティ監視では識別が難しい。開発者のTheo Browneは、最も影響が大きかったのはVercel内部におけるLinearおよびGitHubとの統合だと指摘した。攻撃者がアクセスし得る情報には、アクセスキー、原始コード、データベースの記録、デプロイ用の認証情報（NPMおよびGitHubトークンを含む）が含まれる可能性がある。事案の帰属は現時点では不明であり、売り手がVercelに対して身代金を要求したという報道があるものの、交渉の詳細は開示されていない。

暗号フロントエンドの特別なリスク：ホスティング層の攻撃 vs. 従来のDNSハイジャック

今回の事案は、暗号フロントエンドのセキュリティにおいて長らく見過ごされてきた攻撃面を浮き彫りにした：

2つの攻撃モードの重要な違い

DNS層のハイジャック：攻撃者がユーザーを偽装サイトへリダイレクトし、通常は監視ツールによって比較的迅速に検知できる

ホスティング層（ビルドパイプライン）への侵入：攻撃者がユーザーに提供されるフロントエンドのコードを直接改ざんする。ユーザーは正しいドメインにアクセスしているが、知らないうちに悪意あるコードを実行してしまう可能性がある

Vercel環境で、環境変数が「sensitive」としてマークされていない場合、漏えいする可能性がある。暗号プロトコルにとって、これらの変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの重要な情報が含まれる。これらが漏えいすると、攻撃者はデプロイ版を改ざんしたり、悪意のあるコードを注入したり、後 backendサービスにアクセスしてより広範な攻撃を行う可能性がある。Vercelは顧客に対し、環境変数を直ちに見直し、プラットフォームの「sensitive」変数保護機能を有効化するよう促している。

Web3セキュリティへの示唆：サプライチェーンへの依存が体系的なリスクになりつつある

今回の事案はOrcaだけでなく、Web3コミュニティ全体に対して、より深い構造的問題も明らかにした：暗号プロジェクトが集中型のクラウド基盤とAI統合サービスに依存しており、それによって防御が難しい新たな攻撃面が形成されつつある。いかなる信頼された第三者サービスであっても侵害されると、攻撃者は従来のセキュリティ防御を迂回してユーザーに直接影響を与えることができる。暗号フロントエンドのセキュリティはDNS保護やスマートコントラクトの監査の範囲を超えており、クラウドプラットフォーム、CI/CDパイプライン、AI統合の包括的な安全管理が、Web3プロジェクトにとって無視できない防御レイヤーになっている。

よくある質問

今回のVercelセキュリティ事案は、Vercelを利用する暗号プロジェクトにどのような影響がありますか？

Vercelは、影響を受けた顧客数は限られており、プラットフォームのサービスは中断されていないと述べている。しかし、多数のDeFiフロントエンド、DEXの画面、ウォレット接続ページがVercelでホスティングされているため、プロジェクト側は、漏えいの可能性がある環境変数を直ちに確認し、鍵をローテーションしたうえで、デプロイ用認証情報（NPMおよびGitHubトークンを含む）の安全状態を確認するよう推奨されている。

「環境変数の漏えい」は暗号フロントエンドにおいて具体的にどんなリスクを意味しますか？

環境変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの機密情報が保存されている。これらの値が漏えいすれば、攻撃者はフロントエンドのデプロイを改ざんしたり、悪意のあるコードを注入したり（偽装されたウォレットの承認リクエストなど）、後 backendの接続サービスにアクセスして、より広範な攻撃を行う可能性があり、さらにユーザーがアクセスするドメインは一見正常に見え続ける。

Orcaのユーザーの資金は、今回のVercel事案の影響を受けていますか？

Orcaは、其のオンチェーン契約とユーザー資金は影響を受けていないことを明確に確認している。今回の鍵のローテーションは、確認済みの資金損失に基づくものではなく、慎重な考慮による予防措置である。Orcaは非ホスティングの構成を採用しているため、フロントエンドが影響を受けたとしても、オンチェーン資産の所有権コントロールは依然としてユーザー本人が保有している。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

北朝鮮のLazarusグループ、macOSユーザーから暗号資産ウォレットの資格情報を盗むMach-O Manマルウェアを展開

執行措置セキュリティインシデント

Lazarusは、macOS向けにMach-O Manをリリースし、キーチェーンデータとウォレットの資格情報を盗みます。ClickFixのポップアップと侵害されたTelegramのミーティングを通じて、暗号通貨のエグゼクティブを標的にしています。概要：この記事は、Lazarusに関連するMach-O ManのマルウェアがmacOSを標的に、キーチェーンデータ、ブラウザの資格情報、ログインセッションを外部流出させて暗号資産ウォレットや取引所アカウントにアクセスすることを報告しています。配布はClickFixのソーシャルエンジニアリングと、侵害されたTelegramアカウントに依存しており、被害者を偽のミーティングリンクへ誘導します。この記事は、この作戦を4月20日のKelp DAOハックに結び付け、TraderTraitorをLazarusの関連組織として特定し、LayerZeroのOFT標準を介してブロックチェーン間でrsETHが移動していることに言及しています。

GateNews11分前

ZachXBT、Bitcoin DepotのATMの44%超のビットコイン上乗せに警鐘

bitcoin news セキュリティインシデント取引所リスク

ZachXBTは、Bitcoin DepotのATMが高額なプレミアムを課していると警告しています――$25k フィアットが1BTCあたり$108kである一方、$75k 市場は約(44%ほど)で、0.232 BTCに対して約$7.5kの損失につながったとしています。さらに、$3.26Mのセキュリティ侵害も指摘しています。この記事は、Bitcoin Depotの価格設定の慣行と最近のセキュリティ侵害に関するZachXBTの警告を要約し、インフレートされたレートやセキュリティ上の不備がユーザーにもたらすリスクを強調しています。

GateNews2時間前

プライバシー・プロトコルUmbraがフロントエンドを停止し、攻撃者による盗難Kelp資金のマネーロンダリングを阻止

地政学執行措置セキュリティインシデント

Gate Newsのメッセージ、4月22日 — プライバシー・プロトコルのUmbraは、最近の攻撃を受けて、攻撃者がプロトコルを使って盗まれた資金を移すのを防ぐために、フロントエンドのWebサイトを停止しました。これには、損失が$280 百万ドルを超える結果となったKelpプロトコルの侵害が含まれます。盗まれた資金のうち約$800,000がUmbraを通じて移されたものの、プロトコルが保護するのは受取人の身元であり、送信者ではありません。移されたすべての資金は識別可能なままです。

GateNews3時間前

SlowMist 23pds 警告：Lazarus Group が暗号通貨向けの新型 macOS ツールキットを公開

セキュリティインシデント

SlowMist最高情報セキュリティ責任者23pdsは4月22日に警告を発表し、北朝鮮のハッカー組織Lazarus Groupが、暗号通貨業界および高額な価値を持つ企業の経営幹部を対象とした、新しいネイティブmacOSのマルウェアツールキット「Mach-O Man」を公開したと述べた。

MarketWhisper5時間前

Venus Protocol 攻撃者が 2301 枚の ETH を送金し、Tornado Cash に流入して洗浄

ethereum news 執行措置セキュリティインシデントオンチェーンデータ

チェーン上のアナリスト Ai おばさんによる4月22日の監視によると、Venus Protocol の攻撃者は11時間前にアドレス 0xa21…23A7f へ 2,301 ETH（約 532 万ドル）を送金し、その後資金を分割して暗号ミキサーの Tornado Cash に投入して洗浄を行いました。監視時点で、攻撃者はオンチェーン上に約 1,745 万ドル相当の ETH を保有しています。

MarketWhisper7時間前

0/400

コメントなし