Зверніть увагу на підписані документи! Vercel зазнав вимагання 2 мільйони доларів, криптовалютний протокол піднімає тривогу через безпеку фронтенду

Хмарна платформа розробки Vercel 19 квітня зазнала вторгнення хакерів: атакувальники отримали доступ, скориставшись стороннім інструментом AI, яким користуються працівники, і, ймовірно, виставили в інтернет-форумі вкрадені дані на продаж. Сума стартувала з 2 мільйонів доларів США. Оскільки багато криптопроєктів розміщують на Vercel інтерфейс гаманця та фронтенд dApp, ця подія викликала занепокоєння в криптоспільноті.

Джерело вторгнення: зламано OAuth стороннього AI-інструмента для працівників

У офіційному повідомленні з безпеки Vercel зазначила, що застосунок Google Workspace OAuth, пов’язаний зі стороннім AI-інструментом Context.ai, який використовує співробітник, зазнав вторгнення. Атакувальники використали це, щоб перехопити обліковий запис цього працівника Google Workspace, а далі проникнути в внутрішні дані Vercel.

Генеральний директор Vercel Гільєрмо Раух у дописі в X повідомив, що ця атака, ймовірно, зачепила сотні організацій, які використовують той самий інструмент — не лише одну Vercel.

Раух описав план атаки хакерів як «високодетально продуманий» і висловив припущення, що супротивник значно вдосконалив дії завдяки AI, демонструючи глибоке розуміння внутрішньої архітектури Vercel. Наразі безпекова компанія Mandiant, що належить Google, допомагає в розслідуванні, а Vercel також повідомила відповідні правоохоронні органи.

Учасники хакерської групи пишуть про вимагання 2 мільйонів доларів США

Vercel визнає, що чутливі дані зберігаються у зашифрованому вигляді й доступ до них не отримували; однак інші дані, які не позначені як «чутливі», можуть бути прочитані та використані атакувальниками.

Знімок екрана допису на форумі, що циркулює в Telegram

Особа, яка стверджує, що має відношення до хакерської групи ShinyHunters, написала на кіберзлочинному форумі BreachForums, що нібито отримала ключі API Vercel, NPM token, GitHub token, вміст вихідного коду та внутрішньої бази даних, і опублікувала близько 580 записів даних працівників як «доказ» того, що їх було «взломано», включно з іменами працівників, корпоративними email-адресами, статусами акаунтів і часом активності.

ShinyHunters заперечує причетність; правда перемовин про викуп невідома

Найдивовижніше те, що хоча автор допису стверджує, що він нібито з ShinyHunters, і при цьому сама організація вже публічно заперечила участь у цій події, реальна ідентичність нападника залишається незрозумілою.

Атакувальники також стверджують, що через Telegram і Vercel вони вели перемовини щодо викупу в 2 мільйони доларів США та вимагали спочатку сплатити 500 тисяч доларів у біткоїнах, щоб повернути частину даних; однак Vercel не підтвердила цього.

Криптопротоколи — червоний сигнал тривоги: фронтенд стає новою атакувальною поверхнею ланцюга постачання

Вплив інциденту Vercel на криптосферу не можна недооцінювати. Велика кількість децентралізованих бірж (DEX) і фронтендів гаманців, а також панелі керування dApp розгорнуті на Vercel; якщо приватні RPC-ендпойнти відповідних криптопроєктів, ключі сторонніх API або пов’язані з гаманцями секрети зберігалися в даних, які не позначені як «чутливі», то таку інформацію можуть уже було скомпрометовано.

For context, a lot of DeFi is hosted on Vercel and crypto users are a prime target for such attack.

If you need to use DeFi in this time of crisis, verifying what you sign is of utmost importance! You can also use .eth.limo (just hacked but back up and running) or IPFS frontend…

— Pybast (@Pybast) April 19, 2026

Простіше кажучи, атакувальники теоретично можуть напряму підмінити вебсайт і інтерфейс проєкту, спонукаючи користувачів натискати та підписувати шкідливі контракти — а не лише перенаправляти домен на фішинговий сайт, повністю обходячи моніторинг і захист на рівні DNS. Наразі жодних відомостей про збої через це для жодного протоколу не надходило, але всі команди з кібербезпеки вже внесли це до переліку потенційно серйозних ризиків.

Фактично, проблеми безпеки фронтенду в криптосфері — давня «болячка» галузі. Минулого тижня DEX CoW Swap зупинив торгівлю саме через захоплення домену; Aerodrome та Velodrome також у листопаді минулого року стали жертвами атаки із захоплення DNS.

Vercel випустила оновлення даних і закликала користувачів негайно змінити ключі

Vercel заявляє, що її сервіси наразі працюють у звичайному режимі, а розслідування триває, і водночас оновлює панель керування даними. Офіційно сильно рекомендується всім користувачам негайно провести повну перевірку наявних даних, змінити ключі для всіх даних, які не позначені як «чутливі», та увімкнути функцію чутливих змінних платформи, щоб відповідні облікові дані зберігалися у зашифрованому вигляді.

Ця стаття «Зверніть увагу на те, що ви підписуєте!» Vercel зазнала шантажного нападу з вимогою 2 мільйонів доларів США; безпека фронтендів криптопротоколів отримала тривожний сигнал — вперше з’явилася на «Ланцюгові новини ABMedia».