أعلنت بورصة الأوركا اللامركزية Orca في 20 أبريل/نيسان أنها أكملت بالكامل عملية تبديل مفاتيح وشهادات الأمان المتعلقة بواقعة أمنية على منصة التطوير المستضافة Vercel، بما يؤكد أن اتفاقياتها على السلسلة وأموال المستخدمين لم تتأثر. وكشفت Vercel يوم الأحد أنه تمكّن المهاجمون من الوصول إلى بعض الأنظمة الداخلية الخاصة بالمنصة عبر أداة ذكاء اصطناعي طرف ثالث تتكامل مع OAuth الخاص بـ Google Workspace.
مسار الاختراق: ثغرة في سلسلة توريد OAuth الخاصة بالذكاء الاصطناعي، وليست هجومًا مباشرًا على Vercel نفسه
(المصدر:Vercel)
لم يكن مسار هجوم هذه الواقعة يستهدف Vercel بشكل مباشر، بل جاء عبر أداة ذكاء اصطناعي طرف ثالث تم اختراقها في وقت سابق ضمن حادث أمن أكبر نطاقًا، والتي استخدمت أذونات تكاملها مع Google Workspace OAuth للوصول إلى الأنظمة الداخلية الخاصة بـ Vercel. وذكرت Vercel أن هذه الأداة كانت قد أثرت سابقًا على مئات المستخدمين من عدة جهات.
يصعب رصد ثغرات سلسلة التوريد هذه عبر أنظمة المراقبة الأمنية التقليدية، لأنها تستغل خدمة تكامل موثوقة بدلًا من ثغرة مباشرة في الشيفرة. وأشار المطوّر Theo Browne إلى أن أشد الأنظمة تأثرًا كانت التكاملات الداخلية في Vercel مع Linear وGitHub. وقد تشمل المعلومات التي قد يتمكن المهاجمون من الوصول إليها: مفاتيح الوصول، والشيفرة المصدرية، وسجلات قواعد البيانات، وشهادات النشر (بما في ذلك رموز NPM ورموز GitHub). ولا يزال تصنيف الواقعة غير واضح حتى الآن؛ إذ ذكرت تقارير أن البائعين كانوا قد طلبوا فدية من Vercel، لكن تفاصيل المفاوضات لم تُكشف.
مخاطر خاصة في الواجهات الأمامية المشفّرة: هجوم طبقة الاستضافة مقابل اختطاف DNS التقليدي
تُبرز هذه الواقعة سطحًا هجوميًا كان طويلًا ما يُهمَل في أمن الواجهات الأمامية المشفّرة:
الفرق الرئيسي بين نمطَي الهجوم
اختطاف طبقة DNS: يعيد المهاجمون توجيه المستخدمين إلى مواقع مزيفة، وغالبًا ما يمكن اكتشاف ذلك بسرعة نسبيًا عبر أدوات المراقبة
اختراق طبقة الاستضافة (Build Pipeline): يقوم المهاجمون بتعديل شيفرة الواجهة الأمامية التي تُسلَّم للمستخدمين مباشرةً، ويظل المستخدمون يصلون إلى النطاق الصحيح، لكن قد يتم تشغيل شيفرة خبيثة دون علم المستخدمين
في بيئة Vercel، إذا لم تكن متغيرات البيئة موسومة على أنها «sensitive»، فقد تتعرض للتسريب. وبالنسبة لبروتوكولات التشفير، تحتوي هذه المتغيرات عادةً على معلومات حساسة حاسمة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. بمجرد تسريبها، قد يتمكن المهاجمون من العبث بالإصدارات المُنشرَة وحقن شيفرة خبيثة، أو الوصول إلى خدمات الخلفية لتنفيذ هجمات أوسع. وقد حثّت Vercel عملاءها على الفور على مراجعة متغيرات البيئة وتفعيل ميزات حماية المتغيرات الحساسة في المنصة.
دروس لـ Web3 في مجال الأمن: الاعتماد على سلسلة التوريد يتحول إلى خطر منهجي
لم تؤثر هذه الواقعة على Orca وحدها، بل كشفت أيضًا للمجتمع الواسع لـ Web3 عن مشكلة بنيوية أعمق: اعتماد مشاريع التشفير على البنية التحتية السحابية المركزية وخدمات تكامل الذكاء الاصطناعي يكوّن أسطح هجوم جديدة يصعب الدفاع عنها. عندما يتم اختراق أي خدمة طرف ثالث موثوقة، يمكن للمهاجمين تجاوز خطوط الدفاع الأمنية التقليدية والتأثير مباشرةً على المستخدمين. لقد تجاوز أمن الواجهات الأمامية المشفرة نطاق حماية DNS ومراجعات تدقيق العقود الذكية؛ إذ أصبحت الإدارة الأمنية الشاملة للمنصات السحابية وخطوط CI/CD وتكاملات الذكاء الاصطناعي تشكل طبقة دفاع لا يمكن تجاهلها لمشاريع Web3.
الأسئلة الشائعة
ما تأثير حادث أمان Vercel هذا على المشاريع التشفيرية التي تستخدم Vercel؟
تقول Vercel إن عدد العملاء المتأثرين محدود، وأن خدمات المنصة لم تتوقف. لكن نظرًا لأن الواجهة الأمامية لكثير من DeFi وواجهات DEX وصفحات ربط المحافظ تُستضاف على Vercel، فقد طُلب من الجهات المعنية مراجعة متغيرات البيئة على الفور، والتأكد من حالة الأمان لشهادات النشر (بما في ذلك رموز NPM ورموز GitHub)، واستبدال أي مفاتيح قد تكون قد تم تسريبها.
ما المخاطر المحددة التي تعنيها «عملية تسريب متغيرات البيئة» في الواجهات الأمامية المشفرة؟
تقوم متغيرات البيئة عادةً بتخزين معلومات حساسة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. إذا تسربت هذه القيم، فقد يقوم المهاجمون بتعديل نشر الواجهة الأمامية، وحقن شيفرة خبيثة (مثل طلبات تفويض للمحفظة مزيفة)، أو الوصول إلى خدمات ربط الخلفية لتنفيذ هجوم أكثر شمولًا، بينما لا يزال اسم النطاق الذي يزوره المستخدمون يظهر بشكل طبيعي من الواجهة.
هل تأثرت أموال مستخدمي Orca بهذه الواقعة على Vercel؟
تؤكد Orca بشكل واضح أن بروتوكولاتها على السلسلة وأموال المستخدمين لم تتأثر. وكان تبديل المفاتيح في هذه الواقعة إجراءً وقائيًا بحسابات حذرة، وليس استنادًا إلى خسائر أموال مؤكدة. وبسبب اعتماد Orca لبنية غير مُحكَمة (non-custodial)، حتى في حال تعرض الواجهة الأمامية للتأثير، يظل التحكم في ملكية الأصول على السلسلة بيد المستخدم نفسه.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Kelp DAO Hack Attributed to Lazarus Group; eth.limo Domain Hijacked via Social Engineering
LayerZero reported that the Kelp DAO exploit, attributed to North Korea's Lazarus Group, led to a loss of $292 million in rsETH tokens due to vulnerabilities in its decentralized verifier network. Additionally, eth.limo faced a domain hijacking from a social engineering attack, but DNSSEC mitigated severe damage.
GateNewsمنذ 3 د
DeFi 黑客事件引发 Aave 出现 $9 十亿规模资金外流:被盗代币被用作抵押
最近一次从加密项目中转走了近 $300 百万的黑客攻击,导致 Aave 出现流动性危机;用户因此撤回了约 $9 十亿资金。对抵押品质量的担忧促使大规模提款,凸显了 DeFi 借贷中的风险。
GateNewsمنذ 33 د
هجوم تصيّد إلكتروني على إيثريوم يستنزف $585K من أربعة مستخدمين، مستخدم واحد يخسر $221K WBTC
شن هجوم تصيّد إلكتروني منسّق على إيثريوم تمكّن من سحب 585,000 دولار من أربعة ضحايا، مستغلًا أذونات المستخدمين عبر رابطٍ خادع. يسلط هذا الحادث الضوء على الخسارة السريعة للأموال عبر الهندسة الاجتماعية، حتى عندما يكون الأمر متخفّيًا خلف مظهر الشرعية.
GateNewsمنذ 2 س
انتبه إلى محتوى التوقيع! تعرضت Vercel لابتزاز إلكتروني بمبلغ 2 مليون دولار، واتفاقيات التشفير ترفع حالة التأهب بشأن أمان الواجهة الأمامية
منصة تطوير السحابة Vercel تعرضت لاختراق من قِبل قراصنة في 19 أبريل. وقد حصل المهاجمون على صلاحيات الوصول عبر أداة ذكاء اصطناعي تابعة لجهة خارجية يستخدمها الموظفون، وهددوا بالابتزاز مقابل 200 مليون دولار. ورغم عدم الوصول إلى البيانات الحساسة، إلا أن بيانات أخرى قد تكون قد استُخدمت. وقد أثار هذا الحادث مخاوف أمنية داخل مجتمع العملات الرقمية، حيث يجري Vercel حاليًا تحقيقًا ويُنصح المستخدمون بتغيير مفاتيحهم.
ChainNewsAbmediaمنذ 3 س
تُكبِّد KelpDAO خسارة $290M في هجوم LayerZero على طبقة Lazarus Group
واجهت KelpDAO خسارة بمقدار $290 مليون دولار بسبب اختراق أمني معقد مرتبط بمجموعة Lazarus. استغل الهجوم نقاط ضعف في إعدادات نظام التحقق لديها، وسلط الضوء على مخاطر الاعتماد على إعداد تحقق واحد من نقطة واحدة. يؤكد خبراء الصناعة على ضرورة تحسين إعدادات الأمان والتحقق متعدد الطبقات لمنع وقوع حوادث مستقبلية.
CryptoFrontierمنذ 4 س
استجابة LayerZero لحدث Kelp DAO بقيمة 292 مليونًا: يشير إلى أن Kelp قامت بتكوين 1-of-1 DVN اختياريًا، وأن المهاجم هو Lazarus التابع لكوريا الشمالية
أصدرت LayerZero بيانًا بشأن حادث الاختراق الذي استهدف Kelp DAO بمبلغ 292 مليون دولار، واتهمت أن إعداد Kelp المخصص لـ 1-of-1 DVN هو ما جعل الحادث ممكنًا، وأن الجهة المهاجمة هي مجموعة Lazarus الكورية الشمالية. أكدت LayerZero أن هذا الحادث ناتج عن خيارات التكوين، وأنها لن تدعم بعد الآن هذا النوع من الإعدادات الهشة. علاوة على ذلك، لا تزال مسؤولية القضية محل جدل، ولم تقدم أي خطة لتعويض الأضرار.
ChainNewsAbmediaمنذ 4 س
