العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
اختراق Vercel عبر أداة ذكاء اصطناعي مخترقة يكشف مخاطر الواجهة الأمامية للعملات المشفرة
كشفت منصة تطوير السحابة Vercel يوم الأحد أن المهاجمين اخترقوا أجزاءً من أنظمتها الداخلية عبر أداة ذكاء اصطناعي تابعة لجهة خارجية مرتبطة بتطبيق OAuth في Google Workspace، وفقًا لبيانها الرسمي. وقد تأثر جزء محدود من العملاء، وظلت خدمات Vercel تعمل. وقد أثار هذا الحادث قدرًا كبيرًا من القلق في صناعة العملات المشفرة، إذ تعتمد العديد من مشاريع Web3 على Vercel لاستضافة واجهات المستخدم الخاصة بها، ما يبرز الاعتماد على البنية التحتية السحابية المركزية.
أكدت Vercel أن أداة الذكاء الاصطناعي التابعة لجهة خارجية تعرضت للاختراق في حادث أكبر طال مئات المستخدمين من عدة مؤسسات. وقد تعاقدت الشركة مع مستجيبين خارجيين للحوادث، وأبلغت الشرطة، وهي تحقق في كيفية إمكانية الوصول إلى البيانات. ووفقًا للإفصاح، تم عرض مفاتيح الوصول، وكود المصدر، وسجلات قاعدة البيانات، وأوراق اعتماد النشر (NPM وتوكنات GitHub) للحساب المتأثر. وكدليل على الاختراق، تم كشف ما يقرب من 580 سجلًا وظيفيًا لموظفين تتضمن الأسماء، وعناوين البريد الإلكتروني للشركات، وحالة الحساب، وأوقات النشاط، إلى جانب لقطة شاشة من لوحة تحكم داخلية.
نسبة الحادث وطلب الفدية
ما زالت نسبة الحادث غير واضحة. ووفقًا لتقارير، نفى أفراد على صلة بمجموعة ShinyHunters الرئيسية ضلوعهم. يُقال إن البائع تواصل مع Vercel مطالبًا بفدية، على الرغم من أن الشركة لم تكشف ما إذا كانت قد جرت مفاوضات.
اختراق ذكاء اصطناعي تابع لجهة خارجية وضعف OAuth
بدلًا من مهاجمة Vercel مباشرة، استغل المهاجمون صلاحيات OAuth المرتبطة بـ Google Workspace. إن ثغرة سلسلة التوريد هذه من الصعب تحديدها لأنها تعتمد على تكاملات موثوقة بدلًا من ثغرات واضحة.
لاحظ المطور Theo Browne، المعروف في مجتمع البرمجيات، أن من تم التشاور معهم أشاروا إلى أن تكاملات Linear وGitHub الداخلية لدى Vercel هي التي تحملت وطأة المشكلات. كما لاحظ أن متغيرات البيئة التي تم تعليمها على أنها حساسة في Vercel محمية، بينما يجب تدوير المتغيرات الأخرى التي لم يتم وسمها لتجنب المصير نفسه.
حثت Vercel العملاء لاحقًا على مراجعة متغيرات بيئتهم واستخدام ميزة المتغيرات الحساسة في المنصة. وتكتسب هذه التوجيهات أهمية خاصة لأن متغيرات البيئة غالبًا ما تحتوي على أسرار مثل مفاتيح API، ونقاط نهاية RPC خاصة، وأوراق اعتماد النشر. إذا تم اختراق هذه القيم، فقد يتمكن المهاجمون من تغيير عمليات البناء، وإدخال كود خبيث، أو الحصول على وصول إلى الخدمات المتصلة لتحقيق استغلال أوسع.
اختراق الواجهة الأمامية مقابل ناقلات الهجوم التقليدية
على عكس الاختراقات المعتادة التي تستهدف سجلات DNS أو سجلات أمناء النطاق، يحدث الاختراق على مستوى الاستضافة في مسار البناء. وهذا يسمح للمهاجمين باختراق الواجهة الأمامية الفعلية التي تُسلَّم إلى المستخدمين بدلًا من مجرد إعادة توجيه الزوار.
تخزن بعض مشاريع العملات المشفرة بيانات إعدادات حساسة في متغيرات البيئة، بما في ذلك خدمات مرتبطة بالمحافظ، ومقدمو التحليلات، ونقاط نهاية البنية التحتية. إذا تم الوصول إلى تلك القيم، فقد يتعين على الفرق افتراض أنها تعرضت للاختراق وتدويرها.
تُعد هجمات الواجهة الأمامية تحديًا متكررًا في مجال العملات المشفرة. وقد أدت الحوادث الأخيرة لسرقة النطاقات إلى إعادة توجيه المستخدمين إلى نسخ خبيثة مصممة لسحب الأموال من المحافظ. ومع ذلك، غالبًا ما تنشأ تلك الهجمات عند مستوى DNS أو مسجل النطاقات ويمكن اكتشافها بسرعة عبر أدوات المراقبة.
يختلف الاختراق على مستوى الاستضافة اختلافًا جوهريًا. بدلًا من توجيه المستخدمين إلى موقع مزيف، يقوم المهاجمون بتعديل الواجهة الأمامية الفعلية. وقد يواجه المستخدمون نطاقًا شرعيًا يخدم كودًا خبيثًا دون أي مؤشر على حدوث اختراق.
حالة التحقيق واستجابة الصناعة
لا يزال غير واضح إلى أي مدى اخترق الاختراق، أو ما إذا تم تغيير أي عمليات نشر للعملاء. ذكرت Vercel أن تحقيقها جارٍ، وأنها ستقوم بتحديث أصحاب المصلحة حال توفر معلومات إضافية. كما أكدت الشركة أن العملاء المتأثرين يتم التواصل معهم مباشرة.
لم تقم أي مشاريع كبرى للعملات المشفرة بتأكيد تلقي إشعار من Vercel علنًا حتى وقت إعداد التقرير. ومع ذلك، من المتوقع أن يدفع الحادث الفرق إلى تدقيق بنيتها التحتية، وتدوير أوراق الاعتماد، وفحص كيفية تعاملها مع الأسرار.
والأثر الأوسع هو أن الأمان في واجهات العملات المشفرة يمتد إلى ما هو أبعد من حماية DNS أو تدقيقات العقود الذكية. إن الاعتماد على منصات السحابة، وعمليات CI/CD، وتكاملات الذكاء الاصطناعي يزيد كذلك من المخاطر. وعندما يتم اختراق أحد تلك الخدمات الموثوقة، يمكن للمهاجمين استغلال قناة تتجاوز الدفاعات التقليدية وتؤثر مباشرة على المستخدمين. وتوضح حادثة Vercel، المرتبطة بأداة ذكاء اصطناعي تعرضت للاختراق، كيف يمكن لثغرات سلسلة التوريد في مكدسات التطوير الحديثة أن تتسبب في آثار متتابعة في جميع أنحاء منظومة العملات المشفرة.