Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 30 modèles d’IA, avec 0 % de frais supplémentaires
PDG de Vercel : la portée de l’attaque dépasse celle de Context.ai, et nous avons averti d’autres victimes présumées
Le PDG de Vercel, Guillermo Rauch, a publié le 22 avril sur X, en heure du Pacifique aux États-Unis, une mise à jour sur l’avancement de l’enquête de sécurité, indiquant que l’équipe d’enquête a traité près de 1 PB des journaux de l’ensemble du réseau et des API de Vercel, et que le périmètre de l’enquête dépasse largement l’incident de piratage de Context.ai. Rauch affirme que les attaquants ont exfiltré des clés d’accès de comptes Vercel en diffusant des logiciels malveillants sur des ordinateurs, et qu’il a été notifié aux victimes.
Vecteurs d’attaque et schémas de comportement : détails de l’enquête
Selon la page d’enquête de sécurité de Vercel et les publications publiques de Guillermo Rauch sur X, cet incident provient d’une application OAuth Google Workspace du service d’IA tiers Context.ai, utilisé par un employé de Vercel, qui a été compromise. Les attaquants, en utilisant les droits d’accès fournis par cet outil, ont progressivement obtenu le compte Google Workspace personnel de l’employé sur Vercel ainsi que le compte Vercel. Une fois dans l’environnement Vercel, ils ont procédé de manière systématique à l’énumération et au déchiffrement de variables d’environnement non sensibles.
Dans ses publications sur X, Rauch indique que les journaux montrent qu’après l’obtention des clés, les attaquants effectuent immédiatement des appels d’API rapides et exhaustifs, en se concentrant sur l’énumération des variables d’environnement non sensibles, ce qui forme un schéma de comportement répétable. Vercel estime que les attaquants disposent d’une connaissance approfondie des interfaces d’API des produits Vercel, avec un niveau technique très élevé.
Nouvelles découvertes après l’extension de l’enquête et collaboration du secteur
D’après la mise à jour de sécurité de Vercel du 22 avril, l’enquête élargie a confirmé deux nouvelles découvertes :
· Découverte que quelques autres comptes ont été compromis dans le cadre de cet incident ; les clients concernés ont été informés
· Découverte que quelques comptes clients présentent des traces d’intrusions antérieures sans lien avec cet incident ; on suppose que cela provient d’une ingénierie sociale, de logiciels malveillants ou d’autres méthodes, et les clients concernés ont été informés
Vercel a approfondi sa collaboration avec des partenaires du secteur tels que Microsoft, AWS et Wiz, et coopère avec Google Mandiant et les services répressifs pour mener l’enquête.
Selon la mise à jour de sécurité de Vercel du 20 avril, l’équipe de sécurité de Vercel, en collaboration avec GitHub, Microsoft, npm et Socket, a confirmé que tous les packages npm publiés par Vercel n’ont pas été affectés : aucun élément prouvant une altération n’a été identifié, et l’évaluation de la sécurité de la chaîne d’approvisionnement est restée normale. Vercel a également divulgué des indicateurs de compromission (IOC) pour que la communauté puisse vérifier, y compris l’ID des applications OAuth concernées : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com ; Vercel recommande aux administrateurs de Google Workspace de vérifier s’ils utilisent l’application susmentionnée.
Questions fréquentes
Quel est le vecteur d’attaque fondamental de cet incident de sécurité chez Vercel ?
Selon la page d’enquête de sécurité de Vercel, l’incident provient d’une application OAuth Google Workspace du service d’IA tiers Context.ai, utilisée par un employé de Vercel, qui a été compromise. Les attaquants, via les droits d’accès accordés par cet outil, ont progressivement obtenu le compte Vercel de l’employé, puis sont entrés dans l’environnement Vercel pour énumérer et déchiffrer des variables d’environnement non sensibles.
Le périmètre d’attaque confirmé par le PDG de Vercel a-t-il dépassé l’incident initial de Context.ai ?
D’après la publication publique de Guillermo Rauch sur X, datée du 22 avril en heure du Pacifique aux États-Unis, les renseignements sur les menaces indiquent que l’activité des attaquants a dépassé le seul périmètre d’intrusion de Context.ai : ils ont volé des clés d’accès à plusieurs prestataires de services dans un réseau plus vaste au moyen de logiciels malveillants, et d’autres victimes présumées ont été informées de la rotation des identifiants.
Les packages npm publiés par Vercel ont-ils été affectés par cet incident de sécurité ?
D’après la mise à jour de sécurité de Vercel du 20 avril, l’équipe de sécurité de Vercel, en collaboration avec GitHub, Microsoft, npm et Socket, a confirmé que tous les packages npm publiés par Vercel n’ont pas été affectés : aucun élément de preuve d’altération n’a été identifié, et l’évaluation de la sécurité de la chaîne d’approvisionnement est demeurée normale.