Platform hosting cloud Vercel diretas! "Antarmuka depan DEX", "Antarmuka dompet kripto" mungkin telah diubah untuk mencuri dana

Penulis: HIBIKI, Kota Kripto

Platform hosting cloud Vercel diretas, proyek kripto juga menggunakannya
Platform hosting dan pengiriman infrastruktur cloud Vercel, telah terbukti sebagian sistem internalnya diakses tanpa izin, menyebabkan dampak pada beberapa pelanggan.
Vercel menyediakan layanan fungsi tanpa server, komputasi tepi, serta pipeline integrasi dan pengiriman berkelanjutan, dan terkenal karena pengembangan kerangka React yang luas digunakan, banyak proyek blockchain dan kripto juga bergantung pada Vercel untuk pengiriman antarmuka depan.
CEO Vercel Guillermo Rauch menjelaskan di platform komunitas X bahwa, penyebab serangan hacker kali ini adalah masalah pada alat AI pihak ketiga Context.ai, di mana akun Google Workspace salah satu karyawan Vercel diretas dalam insiden kebocoran data platform AI tersebut, dan penyerang kemudian memanfaatkan hak akses akun tersebut untuk masuk ke lingkungan internal Vercel.
Semua variabel lingkungan pelanggan Vercel saat statis akan dienkripsi secara menyeluruh, dan juga menyediakan fitur untuk menandai variabel sebagai non-sensitif. Penyerang secara khusus memperoleh variabel lingkungan non-sensitif yang tidak dienkripsi melalui enumerasi.

Sumber gambar: Situs resmi Vercel ｜ Vercel adalah platform hosting cloud dan pengiriman infrastruktur, banyak proyek blockchain dan kripto juga bergantung pada Vercel untuk pengiriman antarmuka depan.

Penyerang menuntut 2 juta dolar AS sebagai tebusan atas data yang dicuri
Laporan media keamanan siber 《Bleepingcomputer》 menunjukkan bahwa seorang anggota yang mengaku berasal dari organisasi hacker ShinyHunters memposting di forum hacker BreachForums, mengklaim telah memperoleh data internal Vercel, dan menuntut 2 juta dolar AS sebagai tebusan kepada tim resmi.
Data yang dipamerkan oleh hacker termasuk kunci akses, kode sumber, catatan basis data, serta API Key pengiriman internal NPM dan GitHub, bahkan termasuk 580 nama karyawan Vercel, email, status akun, dan cap waktu aktivitas.

Sumber gambar: Breach Forums ｜ Hacker menawar 2 juta dolar AS untuk menjual data yang dicuri

Namun, anggota utama organisasi ShinyHunters telah membantah keterlibatan mereka dalam serangan Vercel ini kepada media, meskipun organisasi tersebut sebelumnya pernah menyerang pengembang seri game 《GTA》 Rockstar (R Star).

• **Laporan terkait:**Pengembang GTA6 diretas! Hacker: Jika tidak bayar 4/14, data pemain akan bocor, bagaimana tanggapan R Star?

Vercel menyarankan pelanggan untuk melakukan peninjauan menyeluruh
Terkait insiden ini, Vercel telah mengontrak ahli keamanan siber eksternal dan melaporkan ke aparat penegak hukum, serta merilis pembaruan untuk memperkuat manajemen keamanan siber.
Vercel sangat menyarankan administrator memeriksa log aktivitas untuk mendeteksi perilaku mencurigakan, dan mendesak administrator Google Workspace untuk segera memeriksa apakah ada aplikasi OAuth yang disusupi.
Perusahaan juga menyarankan pelanggan untuk melakukan peninjauan menyeluruh dan mengganti variabel lingkungan, serta mengaktifkan fitur variabel sensitif untuk memastikan data terlindungi dengan enkripsi statis.

Dampak serangan Vercel terhadap proyek kripto yang terenkripsi
Insiden ini membawa risiko besar bagi industri mata uang kripto. Menurut 《The Block》, banyak antarmuka dompet, front-end decentralized exchange (DEX), dan dashboard dApp yang di-deploy di Vercel.
Jika proyek blockchain menyimpan endpoint RPC pribadi, API Key pihak ketiga, atau informasi rahasia terkait dompet di variabel lingkungan non-sensitif, kemungkinan besar data rahasia tersebut telah bocor.
Tokoh terkenal dalam komunitas pengembang, Theo Browne, juga mengungkapkan bahwa sumber informasi menunjukkan bahwa sistem integrasi Linear dan GitHub internal Vercel paling terdampak.

Sumber gambar: X/Theo Browne

Dulu, masalah keamanan front-end di bidang kripto sering terjadi, termasuk proyek CoW Swap, Aerodrome, dan Velodrome yang pernah mengalami pengambilalihan domain sistem, serangan semacam ini biasanya dilakukan dengan mengarahkan pengunjung ke situs phishing untuk mencuri aset.
《The Block》 menunjukkan bahwa insiden ini terjadi di layer hosting dan deployment, membuka permukaan serangan baru, dan sepenuhnya melewati pengawasan sistem domain. Dalam skenario terburuk, penyerang dapat langsung mengubah konten output front-end dari proyek yang sebenarnya.