這種供應鏈漏洞難以被傳統安全監控識別，因為它利用的是受信任的整合服務而非直接的程式碼漏洞。開發者 Theo Browne 指出，受影響最嚴重的是 Vercel 內部與 Linear 和 GitHub 的整合。攻擊者可能存取的資訊包括：存取金鑰、原始程式碼、資料庫記錄及部署憑證（包括 NPM 和 GitHub 令牌）。事件歸屬目前尚不明確；有報道稱賣家曾向 Vercel 索取贖金，但談判詳情未獲披露。

加密前端的特殊風險：託管層攻擊 vs. 傳統 DNS 劫持

此次事件凸顯了加密前端安全中長期被忽視的攻擊面：

兩種攻擊模式的關鍵差異

DNS 層劫持：攻擊者將用戶重定向至仿冒網站，通常可透過監控工具相對快速偵測

託管層（Build Pipeline）入侵：攻擊者直接修改交付給用戶的前端程式碼，用戶訪問的是正確域名，但可能在毫不知情的情況下運行惡意代碼

在 Vercel 環境中，若環境變數未被標記為「sensitive」，可能遭到洩露。對加密協議而言，這些變數通常包含 API 金鑰、私有 RPC 端點和部署憑證等關鍵信息。一旦洩露，攻擊者可能篡改部署版本、注入惡意代碼，或存取後端服務進行更廣泛的攻擊。Vercel 已敦促客戶立即審查環境變數並啟用平台的敏感變數保護功能。

對 Web3 安全的啟示：供應鏈依賴正成為系統性風險

此次事件不僅影響 Orca，更向整個 Web3 社群揭示了一個更深層的結構性問題：加密項目對集中式雲端基礎設施和 AI 整合服務的依賴，正在形成難以防禦的新攻擊面。當任何受信任的第三方服務遭到入侵時，攻擊者可繞過傳統安全防線直接影響用戶。加密前端安全已超出 DNS 保護和智能合約審計的範疇，雲端平台、CI/CD 管線和 AI 整合的全面安全管理，正成為 Web3 項目不可忽視的防禦層級。

常見問題

此次 Vercel 安全事件對使用 Vercel 的加密項目有何影響？

Vercel 表示受影響客戶數量有限，平台服務未中斷。但由於大量 DeFi 前端、DEX 界面和錢包連接頁面託管於 Vercel，項目方被建議立即審查環境變數、輪替可能洩露的密鑰，並確認部署憑證（包括 NPM 和 GitHub 令牌）的安全狀態。

「環境變數洩露」在加密前端中意味著什麼具體風險？

環境變數通常儲存 API 金鑰、私有 RPC 端點和部署憑證等敏感信息。若這些值洩露，攻擊者可能篡改前端部署、注入惡意代碼（例如偽造的錢包授權請求），或存取後端連接服務進行更廣泛的攻擊，且用戶訪問的域名表面上仍顯示正常。

Orca 用戶的資金是否受到此次 Vercel 事件的影響？

Orca 明確確認，其鏈上協議和用戶資金未受影響。此次金鑰輪替是出於謹慎考慮的預防措施，並非基於已確認的資金損失。由於 Orca 採取非託管架構，即使前端遭受影響，鏈上資產的所有權控制權仍由用戶本人掌握。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

北韓 Lazarus 集團部署 Mach-O Man 惡意程式，從 macOS 使用者竊取加密錢包憑證

執法行動安全事件

Lazarus 在 macOS 上釋出 Mach-O Man，用於竊取鑰匙串資料和錢包憑證，並透過 ClickFix 彈出視窗鎖定加密貨幣高管，且通過遭入侵的 Telegram 會議進行攻擊。摘要：該文章指出，與 Lazarus 有關聯的 Mach-O Man 惡意程式鎖定 macOS，以外洩鑰匙串資料、瀏覽器憑證和登入會話，藉此存取加密貨幣錢包與交易所帳戶。其散布仰賴 ClickFix 社交工程手法，以及遭入侵的 Telegram 帳戶，將受害者導向假的會議連結。文章將此次行動與 4 月 20 日的 Kelp DAO 駭客事件連結，並指出 TraderTraitor 與 Lazarus 有關，同時提到透過 LayerZero 的 OFT 標準在區塊鏈之間移動 rsETH。

GateNews11分鐘前

ZachXBT Warns Against Bitcoin Depot ATM Over 44% Bitcoin Markup

比特币新聞安全事件平台風險

ZachXBT warns Bitcoin Depot ATMs impose steep premiums—$25k fiat at $108k/BTC vs ~$75k market (about 44%), leading to ~ $7.5k loss on 0.232 BTC; also notes a $3.26M security breach. This article summarizes ZachXBT's warnings about Bitcoin Depot's pricing practices and a recent security breach, highlighting risks from inflated rates and security lapses for users.

GateNews2小時前

隱私協議 Umbra 關閉前端以阻止攻擊者洗錢 Kelp 遭竊資金

地緣政治執法行動安全事件

Gate News 消息，4 月 22 日——隱私協議 Umbra 已關閉其前端網站，以防攻擊者利用該協議轉移遭竊資金；此舉是在近期多起攻擊之後做出的，包括 Kelp 協議遭入侵，造成損失超過 $280 million。約有 $800,000 的遭竊資金在 Umbra 上被轉移，

GateNews3小時前

慢霧 23pds 警示：Lazarus Group 發布針對加密貨幣的新型 macOS 工具包

安全事件

慢霧首席資訊安全長 23pds 於 4 月 22 日發布警示，稱北韓駭客組織 Lazarus Group 已發布全新原生 macOS 惡意軟體工具包「Mach-O Man」，專門針對加密貨幣行業及高價值企業高管。

Market Whisper5小時前

Venus Protocol 攻擊者轉移 2301 枚 ETH，流入 Tornado Cash 清洗

以太坊新聞執法行動安全事件鏈上數據

根據鏈上分析師 Ai 阿姨於 4 月 22 日的監測，Venus Protocol 攻擊者在 11 小時前向地址 0xa21…23A7f 轉移 2,301 枚 ETH（約 532 萬美元），隨後將資金分批轉入加密混合器 Tornado Cash 進行清洗；截至監測時，攻擊者鏈上仍持有約 1,745 萬美元的 ETH。

Market Whisper7小時前

留言

0/400

暫無留言