🛡️ Vercel 重大安全事件爆發！幣圈開發者們，這波供應鏈攻擊值得高度警覺！（2026/4/19） 今天 Vercel 官方確認發生安全事件：一名員工使用的第三方 AI 工具 https://t.co/BgsHm997MH 被駭，導致攻擊者透過 Google Workspace OAuth 入侵內部系統。雖然只有「有限子集」的客戶受到影響，但駭客已取得部分未標記為 sensitive 的環境變數（env variables），包括 NPM token、GitHub token 等高敏感憑證！ 更嚴重的是，ShinyHunters（曾搞出 Ticketmaster 大洩漏的那群人）已在 BreachForums 上以 200 萬美元 標價販售 Vercel 內部資料庫。Vercel 擁有 Next.js（每週下載量高達 600 萬次），一旦惡意程式碼被推上去，全球供應鏈瞬間中招！ Vercel 官方已緊急聯絡駭客、聘請 Mandiant 調查、通知執法單位，並公開 IOC（OAuth App ID）。他們也建議所有用戶： - 立即審核 Activity Logs - 旋轉所有 env variables（尤其是 API key、資料庫憑證、簽名金鑰） - 未來務必把重要 secret 標記為 “Sensitive” - 檢查最近的 Deployment，有疑慮就刪除 - 啟用 Deployment Protection（至少 Standard 等級） 🔥 幣圈重點來了！ 現在的 Web3/幣圈，已經不止要防智能合約漏洞了！ 人為疏失 + 第三方工具風險 才是真正的大魔王： 1. 人為疏失：開發者為了方便，把 Google Workspace、AI 代理工具、CI/CD 權限全部串在一起，一個 OAuth 授權就全盤皆輸。 2. Vercel 這類工具：Next.js、Vercel 已經是無數 dApp、前端專案的部署主力。一旦供應鏈被毒化，錢包合約、Bridge、前端 UI 全都可能被植入後門。 這次事件再次提醒我們：零信任（Zero Trust）不是口號，是生存法則。 - 不要再把「方便」當成安全 - 所有 secret 永遠當成已洩漏處理 - 第三方 AI 工具、OAuth App 都要嚴格審核權限 立即行動清單（推薦複製給團隊）： ✅ 檢查 Vercel、NPM、GitHub、所有 API key ✅ 啟用 sensitive env variables ✅ 審核過去 72 小時的部署紀錄 ✅ 考慮把關鍵專案遷移到自管基礎設施或更嚴格的權限控制 Vercel 這次 DM 駭客「拜託停手」的畫面真的蠻震撼的… 這不是單一事件，而是整個開發生態的警鐘！