A exchange descentralizada Orca anunciou em 20 de abril que concluiu uma substituição completa de chaves e credenciais em relação a um incidente de segurança na plataforma de desenvolvimento em nuvem Vercel, confirmando que seus contratos on-chain e os fundos dos usuários não foram afetados. A Vercel divulgou no domingo que o invasor obteve acesso a parte dos sistemas internos da plataforma por meio de uma ferramenta de IA de terceiros que integra o Google Workspace OAuth.
Caminho da invasão: vulnerabilidade de supply chain de IA OAuth, não um ataque direto ao próprio Vercel
(Fonte: Vercel)
A rota de ataque deste incidente não foi direcionada diretamente à Vercel, mas sim a uma ferramenta de IA de terceiros que havia sido comprometida em um evento de segurança anterior e de maior escala, usando as permissões de acesso via integração do Google Workspace OAuth para acessar os sistemas internos da Vercel. A Vercel afirmou que essa ferramenta anteriormente havia afetado centenas de usuários de várias organizações.
Esse tipo de vulnerabilidade de supply chain é difícil de ser identificado por monitoramento de segurança tradicional, porque explora serviços de integração confiáveis em vez de falhas diretas no código. O desenvolvedor Theo Browne apontou que a integração interna da Vercel com a Linear e o GitHub foi a mais afetada. As informações que o invasor poderia acessar incluem: chaves de acesso, código-fonte, registros de banco de dados e credenciais de implantação (incluindo tokens da NPM e do GitHub). A atribuição do incidente ainda não está clara; há relatos de que o vendedor teria solicitado resgate à Vercel, mas os detalhes das negociações não foram divulgados.
Riscos específicos da segurança em front-end criptográfico: ataque na camada de hospedagem vs. sequestro tradicional de DNS
Este incidente destaca uma superfície de ataque de longa data que foi negligenciada na segurança do front-end criptográfico:
Principais diferenças entre dois modos de ataque
Sequestro na camada de DNS: o invasor redireciona os usuários para um site falso, normalmente podendo ser detectado relativamente rápido por meio de ferramentas de monitoramento
Intrusão na camada de hospedagem (Build Pipeline): o invasor modifica diretamente o código de front-end entregue aos usuários; os usuários acessam o domínio correto, mas podem executar código malicioso sem perceber
No ambiente da Vercel, se as variáveis de ambiente não forem marcadas como “sensitive”, elas podem vazar. Para protocolos criptográficos, essas variáveis normalmente contêm informações críticas, como chaves de API, endpoints privados de RPC e credenciais de implantação. Uma vez vazadas, o invasor pode adulterar as versões implantadas, injetar código malicioso ou acessar serviços de back-end para realizar ataques mais amplos. A Vercel já incentivou os clientes a revisarem imediatamente as variáveis de ambiente e a habilitarem os recursos de proteção de variáveis sensíveis da plataforma.
Lições para a segurança do Web3: dependência de supply chain está virando um risco sistêmico
Este incidente não afetou apenas a Orca; ele também revelou para toda a comunidade Web3 um problema estrutural mais profundo: a dependência de projetos criptográficos de infraestrutura de nuvem centralizada e serviços de integração de IA está criando novas superfícies de ataque difíceis de defender. Quando qualquer serviço de terceiros confiável é comprometido, o invasor pode contornar as defesas tradicionais de segurança e impactar os usuários diretamente. A segurança do front-end criptográfico já ultrapassou o escopo de proteção de DNS e auditorias de contratos inteligentes; a gestão abrangente de segurança de plataformas em nuvem, pipelines de CI/CD e integrações de IA está se tornando uma camada de defesa que projetos Web3 não podem ignorar.
Perguntas frequentes
Qual foi o impacto deste incidente de segurança da Vercel para projetos criptográficos que usam Vercel?
A Vercel afirma que o número de clientes afetados é limitado e que os serviços da plataforma não foram interrompidos. Porém, como muitos front-ends DeFi, interfaces de DEX e páginas de conexão de carteiras são hospedados na Vercel, as equipes do projeto foram aconselhadas a revisar imediatamente as variáveis de ambiente, trocar quaisquer chaves que possam ter vazado e confirmar o status de segurança das credenciais de implantação (incluindo tokens da NPM e do GitHub).
O que significa, de forma concreta, “vazamento de variáveis de ambiente” no front-end criptográfico?
Variáveis de ambiente normalmente armazenam informações sensíveis, como chaves de API, endpoints privados de RPC e credenciais de implantação. Se esses valores vazarem, o invasor pode adulterar as implantações do front-end, injetar código malicioso (por exemplo, solicitações de autorização de carteira falsificadas) ou acessar serviços de conexão de back-end para realizar um ataque mais amplo, e o domínio que os usuários visitam ainda parece normal de forma superficial.
Os fundos dos usuários da Orca foram afetados por este incidente da Vercel?
A Orca confirmou claramente que seus contratos on-chain e os fundos dos usuários não foram afetados. Esta substituição de chaves foi uma medida preventiva por precaução, e não baseada em perdas de fundos confirmadas. Como a Orca adota uma arquitetura não custodial, mesmo que o front-end seja afetado, o controle de propriedade dos ativos on-chain continua nas mãos do próprio usuário.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A exchange Zondacrypto enfrenta acusações de desvio de US$ 350 milhões, o CEO nega publicamente
Um dos maiores exchanges de criptomoedas da Polônia, a Zondacrypto, teve seu CEO, Przemysław Kral, afirmar publicamente em 16 de abril em redes sociais que a exchange não conseguiu acessar uma carteira que contém 4.503 bitcoins, cujo valor atual é superior a US$ 350 milhões. Kral divulgou o endereço da carteira envolvida para refutar acusações de apropriação indevida, mas essa revelação imediatamente desencadeou um grande volume de saques.
MarketWhisper1h atrás
Exposição de pacotes npm maliciosos do Bitwarden CLI; carteiras cripto enfrentam risco de roubo
O Chief Information Security Officer da MistWu 23pds encaminha um aviso da equipe de segurança do Bitwarden: o Bitwarden CLI 2026.4.0, durante um período de 1,5 hora de 22 de abril, horário do leste dos EUA, entre 5:57 PM e 7:30 PM, teve versões do npm que foram adulteradas para publicar pacotes maliciosos via npm; essas versões já foram removidas. A Bitwarden confirmou oficialmente que os dados do cofre de senhas e os sistemas de produção não foram afetados.
MarketWhisper1h atrás
JPMorgan: KelpDAO remove vulnerabilidade de 20 bilhões em DeFi TVL, atratividade institucional prejudicada
A equipe de pesquisa do JPMorgan liderada pelo analista Nikolaos Panigirtzoglou divulgou um relatório em 23 de abril afirmando que vulnerabilidades de segurança persistentes e o estancamento do valor total bloqueado (TVL) estão minando o apelo das finanças descentralizadas (DeFi) para investidores institucionais. O relatório destaca que a falha no KelpDAO apagou cerca de US$ 20 bilhões de TVL em DeFi em poucos dias, expondo riscos estruturais.
MarketWhisper1h atrás
Alerta de fumaça: organização de hackers da Coreia do Norte recruta e engana desenvolvedores Web3, roubando 12 milhões em 3 meses
A empresa de segurança Slow Fog emitiu um alerta de emergência. A organização norte-coreana Lazarus e sua subdivisão HexagonalRodent estão atacando desenvolvedores Web3, induzindo-os a executar código de avaliação de habilidades que inclui backdoors de malware, por meio de táticas de engenharia social, como vagas remotas com altos salários. Por fim, eles roubam ativos criptografados. De acordo com o relatório de investigação da Expel, nos três primeiros meses de 2026, o valor das perdas atingiu 12 milhões de dólares.
MarketWhisper1h atrás
A CoW DAO propõe compensar as vítimas de sequestro do domínio cow.fi, com até 100% de reembolso do prejuízo
CoW DAO em 23 de abril publicou uma proposta de compensação (CIP) no fórum de governança, sugerindo a criação de um programa de subsídios discricionários para fornecer aos usuários vítimas do incidente de sequestro do domínio cow.fi em 14 de abril uma compensação de até 100% dos prejuízos. O incidente teria causado uma perda estimada de aproximadamente US$ 1,2 milhão em USDC aos usuários; a CoW DAO enfatizou que a compensação tem caráter voluntário e especial, não representando reconhecimento de qualquer responsabilidade legal.
MarketWhisper2h atrás
CryptoQuant: Explosão de vulnerabilidade do KelpDAO, a crise mais grave desde 2024, queda de 33% no Aave TVL
De acordo com a avaliação da CryptoQuant em 23 de abril, o ataque de exploração ao KelpDAO ocorrido na semana passada representou, dentro de 72 horas, um risco potencial de inadimplência para a Aave entre US$ 124 milhões e US$ 230 milhões; o TVL despencou 33%, as taxas de empréstimo de USDT e USDC dispararam de 3,4% para 14% e a taxa de empréstimo de ETH atingiu o nível mais alto desde janeiro de 2024, em 8%.
MarketWhisper2h atrás
