Vercelの内部データ流出疑惑、200万ドルで売り出しか
Orcaによると、Vercelのインシデントを受け、露出した可能性のあるキーとデプロイ認証情報をローテーションした。一方、影響はフロントエンドに限られ、オンチェーンのプロトコルとユーザー資金には影響がなかったとしている。
ファクトチェック
最も強く検証された証拠はBleepingComputerの報道であり、同報道はVercelが一部の内部システムへの不正アクセスを開示し、脅威アクターが認証情報/APIキーやソースコードを含む盗難疑惑データの販売を試みていたと直接伝えている。Telegramのメッセージでは、$2 millionの要求があったとされることにも言及している。これは、不正な内部アクセスとBreachForums型の売却提案に関する主張の中核を裏付けるものである。検索結果からは、Vercelが「Vercel April 2026 security incident」と題する公式インシデント速報を公表したことも裏付けられるが、この実行ではそのページの取得に成功しなかった。より具体的なソーシャルメディア上の文脈については、Odailyの記事がim23pdsによるX投稿にさかのぼれることは確認でき、23pdsが情報拡散の連鎖の一部だったことを裏付けているが、Xの取得に失敗したため、その投稿の実際の文面は検証できなかった。したがって、主張全体は実質的には真実である可能性が高いが、一部の詳細は今回の実行では部分的な裏付けにとどまっている。
要約
Vercelはこれまでに、社内システムの一部への不正アクセスはサードパーティー製AIツールのOAuth侵害に起因すると確認しており、同社でホストされる一部の仮想通貨およびDeFi(分散型金融)フロントエンドのAPI (Application Programming Interface)キーや認証情報が露出した可能性があるリスクが生じていた。Orcaは現在、このインシデントを受けて、露出した可能性のあるすべてのキーとデプロイ認証情報をローテーションしたと述べている。チームによると、OrcaのフロントエンドはVercel上でホストされているが、オンチェーンのプロトコルとユーザー資金に影響はなく、今後も状況を監視し、最新情報を提供していくとしている。
用語解説
- OAuth: ユーザーがパスワードを直接共有することなく、サードパーティーのアプリケーションがサービスやアカウントにアクセスできるようにする認可フレームワーク。
- DeFi: 分散型金融の略称で、従来の仲介者を介さずに機能する、ブロックチェーン基盤の金融アプリケーションのエコシステム。
- onchain: ブロックチェーン上で直接稼働する活動やシステムを表す用語で、取引やプロトコルのロジックがネットワーク上に記録されるもの。