Vercel bị tấn công nội bộ, cộng đồng DeFi hoảng ngại rủi ro chuỗi cung ứng Next.js

Ngày 13 (giờ địa phương), nhà cung cấp hạ tầng cốt lõi cho ngành tiền mã hóa **“Vercel”** thừa nhận bị xâm nhập nội bộ, làm dấy lên cảnh báo an ninh diện rộng với hệ sinh thái **“DeFi”**. Vercel – đơn vị đứng sau nền tảng **“Next.js”**, vốn là dịch vụ đám mây mà rất nhiều ứng dụng tiền mã hóa đang phụ thuộc – đang bị lo ngại có thể trở thành điểm phát tán rủi ro cho cả chuỗi cung ứng mã nguồn trong ngành.

Theo BlеepingComputer đưa tin ngày 13 (giờ địa phương), Tổng giám đốc Vercel Guillermo Rauch cho biết vụ tấn công khởi nguồn từ việc một nhân viên Vercel có liên quan đến sự cố rò rỉ dữ liệu tại khách hàng nền tảng AI Context.ai. Từ đó, kẻ tấn công mở rộng quyền truy cập thông qua tài khoản Google Workspace của nhân viên này, rồi tiến sâu vào môi trường doanh nghiệp của Vercel. Rauch nhấn mạnh đợt tấn công lần này được “tăng tốc đáng kể nhờ *“AI”*”.

Trên diễn đàn BreachForums, một tài khoản được cho là liên quan đến vụ việc rao bán dữ liệu với yêu cầu khoản tiền chuộc lên tới 2 triệu USD, đồng thời tuyên bố trong dữ liệu có chứa token GitHub. Tuy nhiên, tính xác thực của các ảnh chụp màn hình và tập tin bị rao bán hiện vẫn chưa được xác minh độc lập.

Vụ việc đặc biệt nguy hiểm với hệ sinh thái **“DeFi”**. Nếu kẻ tấn công cài được gói Next.js độc hại vào các website, người dùng khi truy cập và ký giao dịch có thể vô tình ủy quyền chuyển tài sản trực tiếp đến ví của hacker. Trong thông báo an ninh phát đi ngày Chủ nhật, Vercel xác nhận đã ghi nhận “một số truy cập trái phép vào hệ thống nội bộ” và cho biết đang phối hợp với cơ quan thực thi pháp luật để điều tra.

Trên mạng xã hội X, kỹ sư trưởng (CTO) giao thức Cork Protocol, biệt danh “pibast”, cảnh báo người dùng nên tránh tương tác với bất kỳ ứng dụng **“DeFi”** nào trong vài ngày tới. Ông lưu ý phần lớn dịch vụ **“DeFi”** – từ dashboard theo dõi danh mục, công cụ kết nối ví đến nền tảng phát hành token – đều đang được lưu trữ trên hạ tầng của Vercel, trong khi người dùng tiền mã hóa là mục tiêu ưu tiên của loại tấn công này.

*bình luận: Khuyến nghị “tạm dừng tương tác” cho thấy mức độ lo ngại của giới kỹ thuật về nguy cơ bị chèn mã độc vào giao diện người dùng, vốn rất khó phát hiện với người dùng phổ thông.*

Rauch cho biết riêng trong năm 2025, Next.js đã ghi nhận khoảng 520 triệu lượt tải xuống. Quy mô sử dụng khổng lồ này khiến giới chuyên môn lo sợ hacker có thể lợi dụng mọi quyền truy cập hoặc thông tin xác thực chiếm được từ Vercel để âm thầm cấy mã độc vào các dự án phụ thuộc Next.js trong chuỗi cung ứng phần mềm. Đây là kiểu rủi ro từng nhiều lần bị cảnh báo trong ngành **“tiền mã hóa”**, nơi chỉ một thay đổi nhỏ ở lớp giao diện hoặc SDK cũng có thể dẫn đến thất thoát tài sản hàng loạt.

Vercel cho hay đang nhận hỗ trợ từ Mandiant – đơn vị ứng phó sự cố của Google – và khẳng định đến thời điểm hiện tại “chỉ một nhóm khách hàng hạn chế” bị ảnh hưởng, các dịch vụ vẫn vận hành bình thường. Dù vậy, sự cố lần này thêm một lần phơi bày mức độ phụ thuộc sâu của các ứng dụng **“DeFi”** và **“tiền mã hóa”** vào một số nhà cung cấp đám mây và công cụ phát triển tập trung, đồng thời kéo vấn đề an ninh chuỗi cung ứng – vốn là mắt xích yếu nhất trong bảo mật DeFi – trở lại tâm điểm tranh luận.

*bình luận: Với bề mặt tấn công trải rộng từ thư viện front-end như Next.js tới hạ tầng triển khai như Vercel, chiến lược phòng thủ của dự án DeFi không thể chỉ dừng ở kiểm toán hợp đồng thông minh mà cần bao trùm toàn bộ vòng đời phát triển và triển khai ứng dụng.*