新聞 
幣種資訊 
關於我們 
根據加密媒體報導,於 13 日(當地時間),關鍵前端雲端服務商「詞」Vercel 遭遇資安入侵,已對外承認內部系統遭到未授權存取,引發整個「詞」DeFi 生態對「詞」供應鏈攻擊的高度警戒。由於 Vercel 是「詞」Next.js 背後的主要雲端平台,眾多加密相關網站與應用程式都依賴其基礎設施,市場擔心這起事件可能演變為大規模「詞」代碼供應鏈風險。
Vercel 執行長 Guillermo Rauch(吉列爾莫·勞赫)表示,攻擊起點源自一名員工與「詞」AI 平台客戶 Context.ai 的資安事故有關。攻擊者疑似先利用該名員工相關資訊,進一步取得其「詞」Google Workspace 帳號,繼而擴大入侵範圍,滲透至 Vercel 的企業內網環境。勞赫並指出,本次攻擊行動明顯結合了「詞」人工智慧(AI)輔助技術,導致攻擊流程被「加速」與「優化」,使得防禦窗口被壓縮。
根據資安媒體 BlEepingComputer 報導,在駭客論壇「詞」BreachForums 上,一名自稱掌握本次入侵資料的販售者開出 200 萬美元的勒索價碼,聲稱持有包含「詞」GitHub 存取權杖在內的敏感資訊。不過,目前外流截圖與資料的真實性尚未獲得獨立驗證,細節仍待後續調查釐清。
這次 Vercel 遭入侵事件,對「詞」DeFi 產業的衝擊格外受關注。許多去中心化交易介面、資產儀表板與錢包連接前端,都透過「詞」Next.js 及 Vercel 進行部署。若攻擊者成功汙染相關前端套件或托管環境,用戶只要透過受感染網站進行交易簽名,資金就有可能直接被導入駭客控制的錢包地址。Vercel 在週日發佈的安全公告中坦承,已確認「部分內部系統遭到未授權存取」,並表示已通報並與執法機關合作調查。
去中心化借貸協議 Cork Protocol 的技術長「詞」Pibast(皮巴斯特)則在社群平台 X 上公開示警,呼籲加密用戶「接下來幾天盡量不要與任何 DeFi 應用程式互動」,特別是涉及交易簽名與授權操作時需格外小心。他強調,眾多 DeFi 服務前端都部署在 Vercel 上,而「詞」加密資產使用者一向是此類攻擊的首要目標。
「評論」目前尚未出現明確的大規模用戶資金損失報告,但在供應鏈風險未完全釐清前,暫緩高風險操作、縮小授權範圍,是較為保守的風險管理策略。
勞赫指出,「詞」Next.js 在 2025 年度的下載量高達 5 億 2000 萬次,已成為 Web3 與「詞」DeFi 領域中前端開發的主力工具之一。從 DeFi 儀表板、錢包連結工具,到代幣發行平台,大量項目都直接或間接依賴該框架及 Vercel 的雲端部署能力。也因此,產業內部憂心,若駭客掌握足夠的 Vercel 憑證或部署權限,可能在下游專案中悄悄注入「詞」惡意 JavaScript 程式碼,進而造成供應鏈式的連鎖汙染。
目前,Vercel 表示已引入 Google 旗下資安事件應變團隊「詞」Mandiant 協助調查與處理。官方強調,初步跡象顯示,受影響範圍僅限「少數特定客戶」,整體服務運作仍維持正常。然而,此次事件再度凸顯加密產業對單一雲端與開發工具的高度依賴。一旦「詞」Next.js 或 Vercel 這類核心基礎設施遭到滲透,衝擊將不僅是單一專案,而是整條「詞」DeFi 供應鏈與前端安全信任模型。
「評論」對開發團隊而言,這起事件提醒了兩點:其一,必須將第三方雲端與開發框架視為「高風險節點」,加強權限分離與憑證管理;其二,前端代碼與部署流程應建立獨立的完整性驗證機制,避免單一平台成為整個 DeFi 生態的單點故障。對一般使用者來說,在事件調查尚未完全明朗前,降低合約授權額度、撤銷不必要的 Approve、暫停使用不明或更新可疑的 DApp,都是降低「供應鏈攻擊」風險的實務作法。
留言 0