نظرة عامة على الحادث

في أبريل 2026، تعرضت منصة نشر واجهات المستخدم الأمامية Web3، Vercel (الجهة الرئيسية المسؤولة عن صيانة Next.js)، للاختراق من قبل مهاجمين. استغل المهاجمون أداة الذكاء الاصطناعي Context.ai كنقطة دخول. ومن خلال استغلال آلية تفويض OAuth، حصلوا على أذونات الوصول إلى حسابات Vercel، ثم قاموا بتسريب متغيرات البيئة من مشاريع Web3 متعددة منشورة على المنصة.

تضمنت البيانات المسربة معلومات حساسة مثل مفاتيح API ونقاط نهاية RPC وسلاسل اتصال قواعد البيانات.

تجدر الإشارة إلى أن شركة Vercel كانت تستعد لطرح أسهمها للاكتتاب العام في ذلك الوقت، وقد أثر هذا الحادث الأمني ​​بشكل كبير على سمعتها وثقة المستثمرين بها. يمكن تقسيم الهجوم إلى ثلاث مراحل: مرحلة التسلل: استغل المهاجمون ثغرة أمنية في آلية OAuth الخاصة بشركة Context.ai للحصول على صلاحيات عالية في حسابات الشركة. مرحلة استخراج البيانات: تم فحص واستخراج متغيرات البيئة الحساسة، بما في ذلك تلك المصنفة على أنها "حساسة" وتلك غير المصنفة كذلك. مرحلة الاستغلال: استُخدمت بيانات الاعتماد المسروقة للوصول إلى أنظمة الواجهة الخلفية، مما قد يؤدي إلى هجوم واسع النطاق. سرقة أصول المستخدم.

التحليل الفني

تجمع التقنيات الأساسية المستخدمة في هذا الهجوم بين الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي وإساءة استخدام أذونات OAuth:

• اختطاف تفويض OAuth:
  حصل المهاجمون على تفويض OAuth شرعي لـ Context.ai من خلال أساليب مثل التصيد الاحتيالي أو استغلال الثغرات الأمنية. على عكس الهجمات التقليدية القائمة على كلمات المرور، بمجرد اختراق تفويض OAuth، فإنه يمنح المهاجمين وصولاً دائمًا بدلاً من جلسة تسجيل دخول لمرة واحدة.

• مسح واستخراج متغيرات البيئة:
  باستخدام الصلاحيات المكتسبة، قام المهاجمون بمسح واستخراج متغيرات البيئة من مشاريع Web3 المستضافة على Vercel. غالبًا ما تحتوي هذه المتغيرات على معلومات قيّمة مثل مفاتيح API وسلاسل اتصال قواعد البيانات، ما يجعلها بمثابة "مفاتيح رئيسية" لأنظمة الواجهة الخلفية.

• تعطيل سلسلة الثقة بين الواجهة الأمامية والخلفية:
  بدلاً من مهاجمة العقود الذكية أو البروتوكولات الموجودة على السلسلة بشكل مباشر، قام المهاجمون باختراق علاقة الثقة بين البنية التحتية للواجهة الأمامية وأنظمة الواجهة الخلفية، ما أدى في النهاية إلى تقويض أمن النظام البيئي بأكمله.

توصيات أمنية

• تصنيف وحماية متغيرات البيئة:
  تطبيق سياسات تصنيف صارمة لمتغيرات البيئة. ضمان تصنيف بيانات الاعتماد ذات الامتيازات العالية (مثل مفاتيح واجهة برمجة التطبيقات) على أنها "حساسة" وتوفير حماية معززة لها.
• مبدأ أقل الامتيازات:
  منح أدوات الطرف الثالث (مثل خدمات الذكاء الاصطناعي) الحد الأدنى من الأذونات اللازمة للتشغيل فقط.
• تدوير بيانات الاعتماد تلقائيًا:
  إنشاء آليات تدوير بيانات الاعتماد تلقائيًا.
• بالنسبة للمشاريع ذات القيمة العالية، قم بتدوير البيانات الحساسة مثل مفاتيح واجهة برمجة التطبيقات (API) بانتظام.
• تدقيق أدوات الطرف الثالث:
  قم بإجراء عمليات تدقيق أمنية منتظمة لأدوات الطرف الثالث التي تتمتع بصلاحيات وصول عالية المستوى إلى حسابات المؤسسة، وقم بإلغاء التفويضات غير الضرورية.

للمستخدمين:

• التحقق متعدد القنوات:
  بالنسبة لأي تعليمات تتضمن معاملات مالية، قم بإجراء تحقق ثانوي من خلال القنوات الرسمية (مثل المواقع الإلكترونية الرسمية أو حسابات وسائل التواصل الاجتماعي الموثقة).
• احذر من الواجهات الأمامية غير الرسمية:
  تجنب استخدام واجهات المستخدم الأمامية غير الموثقة التابعة لجهات خارجية، وخاصة تلك التي تطلب أذونات إضافية.
• تفاعل حذر مع واجهة المستخدم الأمامية:
  لا تعتمد فقط على بيانات الأصول المعروضة في واجهة المستخدم الأمامية. تحقق دائمًا من أرصدة الرموز وحالات العقود مباشرةً من خلال مستكشفي البلوك تشين.

مرجع
"اختراق Vercel: أداة الذكاء الاصطناعي Context.ai تتحول إلى هجوم تم إصدار تنبيه أمني لواجهة المستخدم الأمامية لـ Vector وWeb3؛ Solana DEX Orca أول من قام بتغيير بيانات الاعتماد.