暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、MasterCard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
P2Pローン
法定通貨投資で資産を増やす
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
tag
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
SpaceX Pre-IPOs
報酬

第三方 AI 入侵 Vercel,Orca 緊急輪替金鑰確認協議安全

MarketWhisper
セキュリティインシデントAI業界ニュース
ORCA0.41%

Orca輪替金鑰

オー カ(Orca)は4月20日、クラウド開発プラットフォームのVercelに関するセキュリティ事案について、鍵と認証情報の全面的なローテーションを完了したと発表し、その結果、オンチェーンの契約およびユーザー資金への影響がないことを確認した。Vercelは日曜日に明らかにし、攻撃者がGoogle Workspace OAuthと統合されたサードパーティのAIツールを通じて、プラットフォームの一部の社内システムにアクセスしたとした。

侵入経路:AI OAuthのサプライチェーンの脆弱性であり、Vercel本体への直接攻撃ではない

Vercel攻擊事件 (出所:Vercel)

今回の事案の攻撃経路はVercelを直接狙ったものではなく、先により大規模なセキュリティ事案で侵害されていたサードパーティのAIツールを介して、Google Workspace OAuthの統合許可権限を利用し、Vercelの社内システムにアクセスしたものだという。Vercelによれば、このツールはそれ以前にも複数の機関において数百人規模のユーザーに影響を与えていた。

この種のサプライチェーンの脆弱性は、信頼された統合サービスを利用する一方で、直接のコードの脆弱性を突くわけではないため、従来のセキュリティ監視では識別が難しい。開発者のTheo Browneは、最も影響が大きかったのはVercel内部におけるLinearおよびGitHubとの統合だと指摘した。攻撃者がアクセスし得る情報には、アクセスキー、原始コード、データベースの記録、デプロイ用の認証情報(NPMおよびGitHubトークンを含む)が含まれる可能性がある。事案の帰属は現時点では不明であり、売り手がVercelに対して身代金を要求したという報道があるものの、交渉の詳細は開示されていない。

暗号フロントエンドの特別なリスク:ホスティング層の攻撃 vs. 従来のDNSハイジャック

今回の事案は、暗号フロントエンドのセキュリティにおいて長らく見過ごされてきた攻撃面を浮き彫りにした:

2つの攻撃モードの重要な違い

DNS層のハイジャック:攻撃者がユーザーを偽装サイトへリダイレクトし、通常は監視ツールによって比較的迅速に検知できる

ホスティング層(ビルドパイプライン)への侵入:攻撃者がユーザーに提供されるフロントエンドのコードを直接改ざんする。ユーザーは正しいドメインにアクセスしているが、知らないうちに悪意あるコードを実行してしまう可能性がある

Vercel環境で、環境変数が「sensitive」としてマークされていない場合、漏えいする可能性がある。暗号プロトコルにとって、これらの変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの重要な情報が含まれる。これらが漏えいすると、攻撃者はデプロイ版を改ざんしたり、悪意のあるコードを注入したり、後 backendサービスにアクセスしてより広範な攻撃を行う可能性がある。Vercelは顧客に対し、環境変数を直ちに見直し、プラットフォームの「sensitive」変数保護機能を有効化するよう促している。

Web3セキュリティへの示唆:サプライチェーンへの依存が体系的なリスクになりつつある

今回の事案はOrcaだけでなく、Web3コミュニティ全体に対して、より深い構造的問題も明らかにした:暗号プロジェクトが集中型のクラウド基盤とAI統合サービスに依存しており、それによって防御が難しい新たな攻撃面が形成されつつある。いかなる信頼された第三者サービスであっても侵害されると、攻撃者は従来のセキュリティ防御を迂回してユーザーに直接影響を与えることができる。暗号フロントエンドのセキュリティはDNS保護やスマートコントラクトの監査の範囲を超えており、クラウドプラットフォーム、CI/CDパイプライン、AI統合の包括的な安全管理が、Web3プロジェクトにとって無視できない防御レイヤーになっている。

よくある質問

今回のVercelセキュリティ事案は、Vercelを利用する暗号プロジェクトにどのような影響がありますか?

Vercelは、影響を受けた顧客数は限られており、プラットフォームのサービスは中断されていないと述べている。しかし、多数のDeFiフロントエンド、DEXの画面、ウォレット接続ページがVercelでホスティングされているため、プロジェクト側は、漏えいの可能性がある環境変数を直ちに確認し、鍵をローテーションしたうえで、デプロイ用認証情報(NPMおよびGitHubトークンを含む)の安全状態を確認するよう推奨されている。

「環境変数の漏えい」は暗号フロントエンドにおいて具体的にどんなリスクを意味しますか?

環境変数には通常、APIキー、プライベートなRPCエンドポイント、デプロイ用の認証情報などの機密情報が保存されている。これらの値が漏えいすれば、攻撃者はフロントエンドのデプロイを改ざんしたり、悪意のあるコードを注入したり(偽装されたウォレットの承認リクエストなど)、後 backendの接続サービスにアクセスして、より広範な攻撃を行う可能性があり、さらにユーザーがアクセスするドメインは一見正常に見え続ける。

Orcaのユーザーの資金は、今回のVercel事案の影響を受けていますか?

Orcaは、其のオンチェーン契約とユーザー資金は影響を受けていないことを明確に確認している。今回の鍵のローテーションは、確認済みの資金損失に基づくものではなく、慎重な考慮による予防措置である。Orcaは非ホスティングの構成を採用しているため、フロントエンドが影響を受けたとしても、オンチェーン資産の所有権コントロールは依然としてユーザー本人が保有している。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

ラザロス・グループに起因するとされるKelp DAOハック;ソーシャルエンジニアリングでeth.limoドメインが乗っ取られる

ethereum news地政学執行措置セキュリティインシデント

LayerZeroは、北朝鮮のラザロス・グループに起因するとされるKelp DAOのエクスプロイトにより、分散型検証者ネットワークの脆弱性のためにrsETHトークンで$292 百万の損失が発生したと報告した。さらにeth.limoは、ソーシャルエンジニアリング攻撃によるドメイン乗っ取りに直面したが、DNSSECが深刻な被害を抑えた。

GateNews1時間前

DeFiハックがAaveからの資金流出で$9 Billionドルを誘発――担保に盗難トークンが使用

市場分析資金フローセキュリティインシデント取引所リスク

最近のハックで暗号資産プロジェクトから$300 百万ドルがほぼ流出し、それによりAaveで流動性危機が発生した。ユーザーは約$9 billionドルを引き出した。担保の品質に対する懸念が大規模な引き出しにつながり、DeFiレンディングに潜むリスクが浮き彫りになった。

GateNews1時間前

イーサリアムのフィッシング攻撃で$585K から4人のユーザーが被害、単独の被害者は$221K WBTCを失う

ethereum newsセキュリティインシデント

協調的なイーサリアムのフィッシング攻撃により、4人の被害者から$585,000が流出しました。だましのリンクを通じてユーザーの権限を悪用したのです。この事件は、正当性を装っていても、ソーシャルエンジニアリングによって資金が急速に失われる可能性を示しています。

GateNews3時間前

署名内容にご注意ください!Vercelがサイバー攻撃で身代金200万ドルを要求され、暗号プロトコルのフロントエンドセキュリティに警報が発動

地政学セキュリティインシデント

クラウド開発プラットフォームのVercelが4月19日にハッキングを受けました。攻撃者は、従業員が使用していたサードパーティのAIツールを通じてアクセス権限を取得し、200万ドルの身代金を要求しています。機密データはアクセスされていないものの、他のデータが悪用された可能性があります。この件は暗号コミュニティにセキュリティ上の懸念を引き起こしており、Vercelは現在調査を進めており、ユーザーに鍵の変更を推奨しています。

ChainNewsAbmedia4時間前

KelpDAO、Lazarus GroupのLayerZero攻撃で$290M を喪失

セキュリティインシデント取引所リスク

KelpDAOは、Lazarus Groupに関連する高度なセキュリティ侵害により$290 百万ドルの損失を被りました。攻撃は、検証システムにおける設定の脆弱性を悪用し、単一ポイントの検証セットアップに依存することのリスクを浮き彫りにしました。業界の専門家は、将来のインシデントを防ぐために、セキュリティ設定の改善と多層の検証の必要性を強調しています。

CryptoFrontier5時間前

LayerZeroはKelp DAOの2.92億件のイベントに回答:Kelpが独自に1-of-1 DVNを設定し、攻撃者は北朝鮮のLazarusだと指摘

地政学執行措置セキュリティインシデント

LayerZeroはKelp DAOの2.92億ドルが侵害された事件について声明を発表し、Kelpが自ら選んだ1-of-1 DVNの設定が事件を可能にしたとして非難しました。攻撃者は北朝鮮のLazarusグループです。LayerZeroは、この事件は設定の選択に起因するものであり、今後はこの種の脆弱な設定をサポートしないと強調しました。さらに、責任の帰属については依然として議論があり、補償の提案は示されていません。

ChainNewsAbmedia5時間前
コメント
0/400
コメントなし