Une faille chez le fournisseur d’infrastructure Web Vercel oblige les équipes de cryptographie à alterner les clés API et à effectuer une inspection approfondie de leur code sous-jacent.
Dans un bulletin, Vercel a déclaré que le pirate informatique était capable de récupérer des paramètres en coulisses qui n’étaient pas verrouillés, exposant potentiellement les clés API – les informations d’identification numériques utilisées par les applications pour se connecter à d’autres services. Ces informations d’identification agissent comme des mots de passe numériques, permettant aux logiciels de se connecter à des bases de données, des portefeuilles cryptographiques et des services externes. Entre de mauvaises mains, ils peuvent être utilisés pour usurper l’identité d’une application, dépasser les limites d’utilisation ou manipuler son fonctionnement.
Un article sur le forum sur la cybercriminalité BreachForums prétendait vendre des données Vercel pour 2 millions de dollars, y compris les clés d’accès et le code source, bien que ces affirmations n’aient pas été vérifiées de manière indépendante. Vercel a déclaré avoir engagé des sociétés de réponse aux incidents et les forces de l’ordre et qu’il continue d’enquêter pour savoir si des données ont été exfiltrées.
L’entreprise a retracé l’intrusion jusqu’à Context.ai, un outil d’IA tiers utilisé par un employé, a déclaré son PDG dans un article X, où une connexion Google Workspace compromise a permis aux attaquants d’accéder aux environnements internes de Vercel. Vercel a déclaré que les variables d’environnement marquées comme « sensibles » sont stockées d’une manière qui empêche leur lecture et qu’il n’y a aucune preuve qu’elles ont été consultées.
L’incident fait l’objet d’un examen minutieux car Vercel sous-tend l’infrastructure frontale de nombreuses applications de cryptographie et est le principal gestionnaire de Next.js, l’un des frameworks de développement Web les plus largement utilisés. De nombreuses équipes Web3 hébergent des interfaces de portefeuille et des tableaux de bord d’applications décentralisés sur Vercel, en s’appuyant sur des variables d’environnement pour stocker les informations d’identification qui connectent leurs frontends aux fournisseurs de données blockchain et aux services backend.
L’échange décentralisé basé à Solana, Orca, a déclaré que son interface était hébergée sur Vercel et qu’il avait alterné toutes les informations d’identification de déploiement par mesure de précaution. Le projet a ajouté que son protocole onchain et les fonds des utilisateurs n’étaient pas affectés.
Le piratage intervient le même week-end lorsqu’un exploit de 292 millions de dollars du jeton rsETH de Kelp DAO a déclenché une vaste crise de liquidité dans DeFi, déclenchant d’importants retraits des principales plateformes de prêt, dont Aave et faisant craindre une profondeur de contagion encore inconnue.
Bien qu’il ne soit pas entièrement spécifique à la cryptographie, avec ce dernier piratage de Vercel, avril s’avère être l’un des pires mois pour les exploits de cryptographie cette année, puisque le mois a commencé avec le protocole perpétuel basé sur Solana, Drift, drainé pour environ 285 millions de dollars lors d’une attaque liée plus tard à des acteurs affiliés à la Corée du Nord, et au moins une douzaine de protocoles plus petits ont été exploités dans les semaines qui ont suivi, notamment CoW Swap, Zerion, Rhea Finance et Silo Finance.