Web3 的鏈外風險:從 Vercel 安全事件看基礎設施的真實邊界
--
Web3 的設計建立在去中心化之上,並試圖降低單一節點控制與審查的可能性。然而在實際應用中,多數 Web3 產品仍然依賴傳統的雲端服務來支撐前端與部署流程。這些服務雖然不在鏈上,卻直接影響使用者如何與區塊鏈互動。
近期,Vercel 確認發生資安事件,這起事件一方面被 The Block 報導為 Web3 基礎設施層的風險案例,另一方面 Vercel 官方也針對事件細節提供說明。從媒體報導與官方公告交叉來看,可以更完整掌握這次事件的背景,以及 Vercel 在 Web3 系統中的實際角色。
事件概述
根據 The Block 的報導,攻擊者聲稱已取得 Vercel 內部系統的存取權限,並提出約 200 萬美元的贖金要求。
這次的攻擊並未直接針對區塊鏈本身,而是集中在支撐產品運作的基礎設施。從這次事件可以看出,即使鏈上系統維持安全,風險仍可能來自鏈外的服務。
Vercel 在整個架構中的角色
在理解攻擊事件影響之前,我們先來釐清 Vercel 在產品架構中的角色定位。
Vercel 是一個前端部署與託管平台,提供自動化部署(CI/CD)、內容分發(CDN)以及環境變數管理等功能。對開發者而言,它負責將程式碼轉換為可供使用者存取的應用介面。
在 Web3 的產品情境中,多數應用採用鏈上與鏈下分離的架構。智能合約部署在區塊鏈上,負責處理資產與核心邏輯;而使用者在瀏覽器中看到的網站介面、按鈕操作與資料顯示,則由鏈外系統提供。使用者通常是透過這個前端介面發起操作,再由錢包與鏈上合約互動。
這也代表了使用者接觸到的操作環境,很大一部分來自鏈外,而這一層並不直接受到區塊鏈安全機制的保護。
Vercel 的官方說明
Vercel 官方公告顯示,這次事件的起點為員工帳號遭到入侵(account compromise)。攻擊者透過取得帳號存取權限,進入部分內部系統,而非利用底層程式漏洞。
公告進一步指出:
“Our investigation has revealed that the incident originated from a third-party AI tool whose Google Workspace OAuth app was the subject of a broader compromise, potentially affecting hundreds of its users across many organizations.”
這段說明指出,入侵來源並不在 Vercel 本身,而是來自第三方工具所帶來的供應鏈風險。該工具透過 Google Workspace 的 OAuth 機制取得帳號授權,一旦其應用遭到入侵,攻擊者便可能利用既有的授權關係,間接取得企業內部帳號的存取權限。
在這樣的情況下,攻擊者可以接觸到的主要是帳戶層與系統管理相關的資料,例如部分客戶帳戶資訊、專案與部署相關的 metadata,以及一些與系統運作有關的內部資訊。
同時,官方說明也表示,目前沒有證據顯示原始碼儲存庫遭到入侵,或生產環境的執行系統被控制,使用者的部署內容也沒有被竄改。整體來看,這次事件影響的主要是系統的管理與存取層,而不是應用實際執行的環境。
攻擊的本質:風險來源從漏洞擴展至權限管理
從技術角度來看,這次事件反映出一個現象:風險不一定來自系統漏洞,也可能來自存取權限本身。在雲端平台的架構中,帳號通常就是主要的操作入口,無論是部署應用、調整設定,或存取資料,都需要透過身份驗證完成。一旦高權限帳號被取得,攻擊者就有機會進入系統核心。
這類情境通常與社交工程、憑證外洩或權限管理問題有關,而不一定涉及程式錯誤。同時,這次事件也顯示風險可能來自第三方整合與授權機制。當企業系統透過 OAuth 與外部工具連接時,這些既有的授權關係本身,也可能成為潛在的攻擊入口。
為什麼這對 Web3 領域特別敏感
這起事件之所以受到關注,與 Web3 應用的架構特性有關。多數應用將核心邏輯部署在鏈上,但使用者的操作流程仍然依賴鏈外的前端介面。也就是說,使用者並不是直接與區塊鏈互動,而是透過網站或應用介面發起操作,再由錢包與鏈上合約完成交易。
在這樣的架構下,即使區塊鏈本身沒有受到影響,攻擊者仍然可以透過鏈外層進行干預,例如修改前端顯示內容、影響交易資訊的呈現,或調整資料來源與 API 設定,進一步誘導使用者簽署不正確的交易。這些行為利用的是使用者對介面的信任,而不是加密機制本身的弱點。
從整體架構來看,這起事件也顯示 Web3 系統仍然與 Web2 基礎設施有著緊密的連結。多數產品依賴雲端部署平台、API 服務與網路基礎設施來維持運作,一旦這些元件出現問題,影響的往往不只是服務可用性,也可能進一步延伸到安全層面。在這樣的架構下,去中心化目前主要體現在部分技術層級,而尚未涵蓋整體系統。
結語
從這次事件可以觀察到,風險的來源不一定來自單一漏洞,而往往與權限與控制點的集中有關。當系統的操作能力集中在少數帳號或服務上時,這些位置自然會成為優先的攻擊目標。
對 Web3 而言,鏈上去中心化並不代表整體系統同樣分散。只要鏈外層仍依賴中心化服務,相關風險就會持續存在。
雖然 Vercel 這起事件並未顯示區塊鏈本身的問題,但揭示了“鏈外基礎設施”也可以是 Web3 服務的另一層風險來源。當攻擊模式從破解加密轉向取得權限,安全問題的邊界也會隨之擴展。
未來值得讓我們關注的,不只是單一平台的防護措施,而是整個生態是否能逐步降低對集中式基礎設施的依賴,並在系統層級上建立更一致的安全模型。
參考資料
- The Block
Web3 hosting backbone Vercel confirms breach as supposed hacker demands $2 million ransom
https://www.theblock.co/post/398010/web3-hosting-backbone-vercel-confirms-breach-as-supposed-hacker-demands-2-million-ransom - Vercel
Vercel April 2026 Security Incident
https://vercel.com/kb/bulletin/vercel-april-2026-security-incident
