Vercel 官方披露,其内部系统发生未授权访问安全事件,影响范围涉及部分客户。
该 Web 托管平台于 4 月 19 日发布安全公告,提醒所有用户立即检查自身的环境变量。
Vercel 遭遇了什么?
根据 Vercel 官方声明,攻击者已对部分内部系统实现未授权访问。公司方面已邀请应急响应专家参与调查,并同步通知执法机构。
开发者 Theo Browne 补充称,Vercel 的 Linear 与 GitHub 集成遭受此次攻击影响最重。
不过,平台内被标记为“敏感”的环境变量依旧处于安全保护状态。
出于安全考虑,未设置为“敏感”的相关变量建议及时进行轮换更新。
本次攻击手法或许涉及 Vercel 以外的多家企业。目前受影响客户的具体范围尚未公布,相关调查仍在持续推进中。
加密项目为何应特别关注?
许多加密货币及 Web3 项目的前端界面,包括钱包连接器以及去中心化应用(DApp)入口,均部署于 Vercel 平台。
项目方如果在非敏感环境变量中存储 API 密钥、私有 RPC 节点地址或钱包相关密钥,均存在被泄漏的风险。
此次事件并未直接危及区块链网络或智能合约本身——后者属于独立运行,不依赖前端托管平台。
但若部署流程受损,理论上,攻击者有可能对受影响账户的构建过程插入恶意内容。
目前暂未发现类似篡改行为的证据。
Vercel 建议所有项目定期自查并升级环境变量安全性,启用敏感变量标记功能。
安全专家亦呼吁,及时重置所有关联 Vercel 集成的 GitHub 令牌,并排查近期构建日志,清理可能缓存的敏感凭据。
本次事件再度提醒行业,中心化部署平台在去中心化生态中仍隐藏安全隐患。
