การแลกเปลี่ยนแบบกระจายอำนาจ Orca ประกาศเมื่อวันที่ 20 เมษายนว่า ได้ดำเนินการสลับกุญแจและข้อมูลรับรอง (คีย์และเครดิตเชียล) ครบถ้วนสำหรับเหตุการณ์ความปลอดภัยบนแพลตฟอร์มพัฒนาแบบคลาวด์ Vercel แล้ว เพื่อยืนยันว่าสัญญาบนเชนและเงินทุนของผู้ใช้งานไม่ได้รับผลกระทบ เหตุการณ์นี้ถูก Vercel เปิดเผยในวันอาทิตย์ โดยผู้โจมตีเข้าถึงระบบภายในบางส่วนของแพลตฟอร์มผ่านเครื่องมือ AI ของบุคคลที่สามที่เชื่อมต่อกับ Google Workspace OAuth
เส้นทางการบุกรุก: ช่องโหว่ซัพพลายเชนของ AI OAuth ไม่ใช่การโจมตี Vercel โดยตรง
(ที่มา: Vercel)
เส้นทางการโจมตีครั้งนี้ไม่ได้มุ่งเป้าไปที่ Vercel โดยตรง แต่เป็นการผ่านเครื่องมือ AI ของบุคคลที่สามที่เคยถูกบุกรุกมาก่อนแล้วในเหตุการณ์ความปลอดภัยขนาดใหญ่กว่า โดยอาศัยสิทธิ์ที่ได้รับอนุญาตผ่านการผสานรวม Google Workspace OAuth เพื่อเข้าถึงระบบภายในของ Vercel Vercel ระบุว่า เครื่องมือนี้ก่อนหน้านี้เคยส่งผลกระทบต่อผู้ใช้หลายร้อยรายในหลายองค์กร
ช่องโหว่ซัพพลายเชนประเภทนี้ตรวจจับได้ยากด้วยการเฝ้าระวังความปลอดภัยแบบเดิม เพราะมันใช้บริการที่เชื่อถือได้ในการผสานรวม ไม่ใช่ช่องโหว่ในโค้ดโดยตรง นักพัฒนา Theo Browne ชี้ว่า สิ่งที่ได้รับผลกระทบมากที่สุดคือส่วนภายในของ Vercel ที่ผสานรวมกับ Linear และ GitHub ข้อมูลที่ผู้โจมตีอาจเข้าถึงได้รวมถึง: กุญแจสำหรับการเข้าถึง ซอร์สโค้ด บันทึกฐานข้อมูล และข้อมูลรับรองสำหรับการดีพลอย (รวมถึงโทเค็น NPM และ GitHub) สถานะการระบุว่าเหตุการณ์นี้เกี่ยวข้องกับใครยังไม่ชัดเจน มีรายงานว่า ผู้ขายเคยเรียกค่าไถ่จาก Vercel แต่รายละเอียดการเจรจาไม่ได้ถูกเปิดเผย
ความเสี่ยงพิเศษของคริปโตฟรอนต์เอนด์: การโจมตีชั้นโฮสติ้ง vs. การจี้ DNS แบบดั้งเดิม
เหตุการณ์ครั้งนี้สะท้อนให้เห็นถึงพื้นผิวการโจมตีในความปลอดภัยของคริปโตฟรอนต์เอนด์ที่ถูกมองข้ามมายาวนานในอุตสาหกรรมนี้:
ความแตกต่างสำคัญของรูปแบบการโจมตีทั้งสองแบบ
การจี้ชั้น DNS: ผู้โจมตีจะทำให้ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม ซึ่งมักตรวจพบได้ค่อนข้างเร็วผ่านเครื่องมือเฝ้าระวัง
การบุกรุกชั้นโฮสติ้ง (Build Pipeline): ผู้โจมตีแก้ไขโค้ดฟรอนต์เอนด์ที่ถูกส่งมอบให้ผู้ใช้โดยตรง ผู้ใช้จะเข้าถึงโดเมนที่ถูกต้อง แต่โดยที่พวกเขาอาจไม่รู้ตัว อาจมีการเรียกใช้โค้ดที่เป็นอันตราย
ในสภาพแวดล้อมของ Vercel หากตัวแปรสภาพแวดล้อมไม่ได้ถูกทำเครื่องหมายว่า “sensitive” อาจถูกเปิดเผยได้ สำหรับโปรโตคอลแบบเข้ารหัส ตัวแปรเหล่านี้มักประกอบด้วยข้อมูลสำคัญ เช่น คีย์ API จุดปลาย RPC แบบส่วนตัว และข้อมูลรับรองสำหรับการดีพลอย เมื่อข้อมูลถูกเปิดเผย ผู้โจมตีอาจแก้ไขเวอร์ชันที่ดีพลอย แทรกโค้ดที่เป็นอันตราย หรือเข้าถึงบริการฝั่งหลัง (backend) เพื่อทำการโจมตีในวงกว้างมากขึ้น Vercel ได้กระตุ้นให้ลูกค้าตรวจสอบตัวแปรสภาพแวดล้อมทันที และเปิดใช้ฟังก์ชันป้องกันตัวแปรที่มีความอ่อนไหวของแพลตฟอร์ม
ข้อคิดต่อความปลอดภัยของ Web3: การพึ่งพาซัพพลายเชนกำลังกลายเป็นความเสี่ยงเชิงระบบ
เหตุการณ์นี้ไม่ได้ส่งผลกระทบเพียงแค่ Orca แต่ยังเผยให้เห็นปัญหาเชิงโครงสร้างที่ลึกกว่าสำหรับทั้งชุมชน Web3: การที่โปรเจกต์เข้ารหัสพึ่งพาโครงสร้างพื้นฐานบนคลาวด์แบบรวมศูนย์และบริการผสานรวม AI กำลังสร้างพื้นผิวการโจมตีใหม่ที่ยากต่อการป้องกัน เมื่อบริการบุคคลที่สามที่เชื่อถือได้ถูกบุกรุก ผู้โจมตีสามารถข้ามด่านป้องกันความปลอดภัยแบบดั้งเดิม แล้วส่งผลกระทบโดยตรงต่อผู้ใช้งาน ความปลอดภัยของคริปโตฟรอนต์เอนด์ได้ขยายขอบเขตเกินกว่าการป้องกันด้วย DNS และการตรวจสอบสัญญาอัจฉริยะ (smart contract audit) การจัดการความปลอดภัยแบบครอบคลุมของแพลตฟอร์มคลาวด์ ไปป์ไลน์ CI/CD และการผสานรวม AI กำลังกลายเป็นชั้นการป้องกันที่โปรเจกต์ Web3 ไม่อาจมองข้ามได้
คำถามที่พบบ่อย
เหตุการณ์ความปลอดภัยของ Vercel ในครั้งนี้ส่งผลต่อโปรเจกต์คริปโตที่ใช้ Vercel อย่างไรบ้าง?
Vercel ระบุว่าจำนวนลูกค้าที่ได้รับผลกระทบมีจำกัด และบริการของแพลตฟอร์มไม่ได้หยุดชะงัก อย่างไรก็ตาม เนื่องจากมีฟรอนต์เอนด์ DeFi จำนวนมาก รวมถึงหน้าจอ DEX และหน้าการเชื่อมต่อวอลเล็ตที่โฮสติ้งบน Vercel โปรเจกต์ต่าง ๆ จึงได้รับคำแนะนำให้ตรวจสอบตัวแปรสภาพแวดล้อมทันที สลับคีย์ที่อาจถูกเปิดเผย และยืนยันสถานะความปลอดภัยของข้อมูลรับรองสำหรับการดีพลอย (รวมถึงโทเค็น NPM และ GitHub)
“การรั่วไหลของตัวแปรสภาพแวดล้อม” ในคริปโตฟรอนต์เอนด์หมายถึงความเสี่ยงที่เฉพาะเจาะจงอย่างไร?
ตัวแปรสภาพแวดล้อมมักเก็บข้อมูลที่ละเอียดอ่อน เช่น คีย์ API จุดปลาย RPC แบบส่วนตัว และข้อมูลรับรองสำหรับการดีพลอย หากค่าพวกนี้รั่วไหล ผู้โจมตีอาจแก้ไขการดีพลอยของฟรอนต์เอนด์ แทรกโค้ดที่เป็นอันตราย (เช่น คำขอการอนุญาตวอลเล็ตปลอม) หรือเข้าถึงบริการเชื่อมต่อฝั่งหลัง เพื่อทำการโจมตีในวงกว้างมากขึ้น และโดเมนที่ผู้ใช้เข้าถึงจะยังดูเหมือนปกติบนหน้าจอ
เงินทุนของผู้ใช้ Orca ได้รับผลกระทบจากเหตุการณ์ Vercel ครั้งนี้หรือไม่?
Orca ยืนยันอย่างชัดเจนว่า สัญญาบนเชนและเงินทุนของผู้ใช้งานไม่ได้รับผลกระทบ การสลับคีย์ในครั้งนี้เป็นมาตรการป้องกันด้วยความระมัดระวัง ไม่ได้อิงจากการสูญเสียเงินทุนที่ได้รับการยืนยันแล้ว เนื่องจาก Orca ใช้สถาปัตยกรรมแบบไม่โฮสติ้ง (non-custodial) แม้ฟรอนต์เอนด์จะได้รับผลกระทบ สิทธิในการควบคุมความเป็นเจ้าของสินทรัพย์บนเชนยังคงอยู่ในมือของผู้ใช้เอง
btc.bar.articles
โปรดสังเกตเนื้อหาที่ลงนาม! Vercel ถูกแฮ็กเรียกค่าไถ่ 2 ล้านดอลลาร์ และมีการเตือนภัยเกี่ยวกับความปลอดภัยของส่วนหน้าในโปรโตคอลการเข้ารหัส
แพลตฟอร์มการพัฒนาแบบคลาวด์ Vercel ถูกแฮ็กเมื่อวันที่ 19 เมษายน ผู้โจมตีได้ใช้เครื่องมือ AI ของบุคคลที่สามที่พนักงานใช้งานอยู่เพื่อเข้าถึงสิทธิ์ และข่มขู่เรียกค่าไถ่เป็นเงิน 2 ล้านดอลลาร์ แม้ว่าจะไม่มีการเข้าถึงข้อมูลอ่อนไหว แต่ข้อมูลอื่นอาจถูกนำไปใช้แล้ว เหตุการณ์ดังกล่าวทำให้ชุมชนคริปโตเกิดความกังวลด้านความปลอดภัย โดยขณะนี้ Vercel กำลังทำการตรวจสอบและแนะนำให้ผู้ใช้เปลี่ยนคีย์
ChainNewsAbmedia1 ชั่วโมง ที่แล้ว
KelpDAO สูญเสีย $290M ในการโจมตีของ Lazarus Group ต่อ LayerZero
KelpDAO เผชิญกับการขาดทุน $290 ล้านดอลลาร์จากการละเมิดความปลอดภัยที่ซับซ้อนซึ่งเชื่อมโยงกับกลุ่ม Lazarus การโจมตีใช้ประโยชน์จากช่องโหว่ด้านการกำหนดค่าภายในระบบการยืนยันของพวกเขา และชี้ให้เห็นถึงความเสี่ยงของการพึ่งพาการตั้งค่าการยืนยันแบบจุดเดียว ผู้เชี่ยวชาญในอุตสาหกรรมเน้นย้ำถึงความจำเป็นในการยกระดับการกำหนดค่าความปลอดภัยและการยืนยันหลายชั้นเพื่อป้องกันเหตุการณ์ในอนาคต
CryptoFrontier1 ชั่วโมง ที่แล้ว
LayerZero ตอบสนองต่อเหตุการณ์ 292 ล้านของ Kelp DAO: ระบุว่า Kelp ได้ตั้งค่าการกำหนดค่า 1-of-1 DVN ตามที่เลือกเอง และแฮกเกอร์คือ Lazarus จากเกาหลีเหนือ
LayerZero ได้ออกแถลงการณ์เกี่ยวกับเหตุการณ์ถูกโจมตีมูลค่า 292 ล้านดอลลาร์สหรัฐที่ Kelp DAO โดยระบุโทษว่า การตั้งค่าแบบเลือกเอง 1-of-1 DVN ของ Kelp ทำให้เหตุการณ์นี้เป็นไปได้ โดยผู้โจมตีคือกลุ่ม Lazarus ของเกาหลีเหนือ LayerZero ย้ำว่าเหตุการณ์นี้มีสาเหตุมาจากการเลือกค่าคอนฟิก และจะไม่สนับสนุนการตั้งค่าที่มีความเปราะบางลักษณะนี้อีกต่อไป นอกจากนี้ ความรับผิดยังคงเป็นที่ถกเถียง และยังไม่ได้เสนอแนวทางการชดเชย
ChainNewsAbmedia2 ชั่วโมง ที่แล้ว
แฮกเกอร์ DeFi ขโมยเงิน 600 ล้านดอลลาร์ในเดือนเมษายน โดย Kelp DAO และ Drift คิดเป็น 95% ของความสูญเสียรายเดือน
ในเดือนเมษายน 2026 ภายในเวลาเพียง 20 วัน โปรโตคอลการเข้ารหัสสูญเสียมากกว่า 606 ล้านดอลลาร์สหรัฐจากการโจมตีของแฮกเกอร์ ซึ่งกลายเป็นสถิติการขาดทุนรายเดือนที่รุนแรงที่สุดนับตั้งแต่เหตุข้อมูลรั่วไหลมูลค่า 1.4 พันล้านดอลลาร์สหรัฐของตลาดซื้อขายแลกเปลี่ยนในเดือนกุมภาพันธ์ 2025 KelpDAO และ Drift Protocol การโจมตีทั้งสองครั้งรวมกันคิดเป็น 95% ของการสูญเสียในเดือนเมษายน และคิดเป็น 75% ของการสูญเสียรวม 771.8 ล้านดอลลาร์สหรัฐ ณ ปัจจุบันในปี 2026
MarketWhisper2 ชั่วโมง ที่แล้ว
การละเมิดของ Vercel เชื่อมโยงกับการถูกบุกรุกของเครื่องมือ AI Context.ai เพิ่มความเสี่ยงสำหรับส่วนหน้าแพลตฟอร์มคริปโต
Vercel ยืนยันว่าการละเมิดความปลอดภัยเกิดจากเครื่องมือ AI ที่ถูกบุกรุก ส่งผลให้มีการขโมยข้อมูลพนักงานและข้อมูลลูกค้า เหตุการณ์นี้ก่อให้เกิดความเสี่ยงต่อระบบนิเวศ Web3 และผู้โจมพยายามที่จะขายข้อมูลที่ถูกขโมยในราคา $2 ล้านดอลลาร์ Vercel กำลังจัดการสถานการณ์ร่วมกับหน่วยงานบังคับใช้กฎหมายและผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์
GateNews2 ชั่วโมง ที่แล้ว
Ripple CTO: การใช้ประโยชน์จาก Kelp DAO สะท้อนถึงการแลกเปลี่ยนด้านความปลอดภัยของบริดจ์
David Schwartz ผู้ร่วมก่อตั้งและอดีต CTO ของ Ripple ได้วิเคราะห์ช่องโหว่ด้านความปลอดภัยของบริดจ์หลังการเอ็กซ์พลอยต์ของ $292 ล้าน Kelp DAO เขาสังเกตว่าผู้ให้บริการให้ความสำคัญกับความสะดวกสบายมากกว่าความปลอดภัยที่แข็งแกร่ง ส่งผลให้ความสามารถในการป้องกันที่จำเป็นถูกบั่นทอน การละเมิดของ Kelp DAO เกิดจากการรั่วไหลของคีย์ส่วนตัว ซึ่งเลวร้ายลงจากการตั้งค่าความปลอดภัยที่ทำให้ง่ายขึ้นในการใช้งาน LayerZero ของพวกเขา
CryptoFrontier5 ชั่วโมง ที่แล้ว
