¡Alerta en Vercel! Hackeo deja a desarrolladores cripto corriendo para salvar sus claves API

Se armó un desmadre en Vercel, un proveedor de infraestructura web, y ahora los equipos de crypto están corriendo a cambiar sus llaves API y a revisar su código a detalle.

Según un boletín de Vercel, un hacker se metió porque encontraron configuraciones que no estaban bien proteguidas, y se pudieron robar credenciales digitales—eso que usan las apps para conectarse con servicios como bases de datos y wallets de crypto. Imagínate, si alguien malo tiene esas llaves, puede hacerse pasar por la app, usar todo lo que quiera sin permiso o hasta cambiar cómo funciona el software.

En un foro de cibercrimen llamado BreachForums, alguien dice que intenta vender toda la info de Vercel por 2 millones de dólares, incluyendo esas llaves y código fuente, pero nadie ha confirmado si es verdad. Vercel ya está trabajando con expertos en seguridad y la policía para investigar bien qué pasó y si sacaron info.

La bronca empezó por una herramienta de inteligencia artificial llamada Context.ai, que un empleado estaba usando. Resulta que un acceso comprometido a Google Workspace les permitió a los atacantes entrar a los sistemas internos de Vercel. La empresa asegura que las variables de entorno “sensibles” están protegidas y hasta ahora no hay pruebas de que las hayan tocado.

Esto está causando tremendo alboroto porque Vercel es la base principal para muchas aplicaciones crypto, y es el principal responsable de Next.js, uno de los frameworks web más usados. Muchas apps Web3 alojan sus wallets y dashboards en Vercel, y ahí guardan las llaves que conectan todo con blockchains y servicios de backend.

Por ejemplo, Orca, un exchange descentralizado basado en Solana, dijo que su frontend está en Vercel y ya cambiaron todas sus llaves de despliegue para no arriesgarse. Afortunadamente, su protocolo y fondos de usuarios están seguros.

Esta movida viene justo después de un hack chingón que le clavaron a Kelp DAO, donde se robaron 292 millones de dólares en un exploit que dejó a todo el ecosistema DeFi sin liquidez y con puro pánico. Además, abril no ha sido el mes más padre para las criptos, porque antes hubo otro ataque en Drift, un protocolo basado en Solana, donde perdieron cerca de 285 millones, y desde entonces varios otros proyectos más chiquitos también han sido explotados.

En fin, que abril anda cabrón para el mundo crypto, y ahora con lo de Vercel, los equipos tienen que andar bien pilas para que no los agarren desprevenidos.