Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
GateRouter
Lựa chọn thông minh từ hơn 40 mô hình AI, với 0% phí bổ sung
Context.ai bị xâm nhập gây ra khủng hoảng an ninh trên Vercel, CEO công bố đầy đủ tiến độ điều tra
Giullermo Rauch, CEO của Vercel, đã công bố tiến độ điều tra trên nền tảng X, xác nhận rằng nền tảng AI bên thứ ba Context.ai mà nhân viên Vercel sử dụng đã bị xâm nhập. Kẻ tấn công đã lấy thông tin xác thực tài khoản nhân viên thông qua tích hợp Google Workspace OAuth của nền tảng, sau đó truy cập thêm vào một phần môi trường nội bộ của Vercel và các biến môi trường chưa được gắn nhãn là “nhạy cảm”.
Chuỗi tấn công: từ việc xâm nhập OAuth của công cụ AI đến thâm nhập dần vào môi trường của Vercel
Theo cuộc điều tra của Vercel, đường tấn công được chia thành ba giai đoạn nâng cấp tuần tự. Đầu tiên, ứng dụng Google Workspace OAuth của Context.ai trước đó đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng quy mô lớn hơn, có thể ảnh hưởng đến hàng trăm người dùng của nhiều tổ chức. Thứ hai, kẻ tấn công xâm nhập thông qua Context.ai đã kiểm soát tài khoản Google Workspace của nhân viên Vercel và sử dụng thông tin xác thực để truy cập vào hệ thống nội bộ của Vercel. Thứ ba, thông qua phương thức liệt kê (enumeration), kẻ tấn công đã lấy thêm quyền truy cập bằng cách khai thác các biến môi trường chưa được gắn nhãn là “nhạy cảm”.
Rauch trong thông báo cho biết tốc độ hành động của kẻ tấn công “đáng kinh ngạc”, mức độ hiểu biết về hệ thống của Vercel “rất sâu”, và đánh giá rằng rất có thể chúng đã nhờ các công cụ AI để nâng đáng kể hiệu quả tấn công.
Ranh giới an toàn của biến môi trường “nhạy cảm” và “không nhạy cảm”
Sự kiện này đã làm lộ ra các chi tiết then chốt về cơ chế bảo mật biến môi trường của môi trường Vercel: các biến môi trường được gắn nhãn là “nhạy cảm” được lưu trữ theo cách ngăn việc đọc, hiện tại cuộc điều tra chưa phát hiện những giá trị này bị truy cập. Kẻ bị tấn công đã khai thác các biến môi trường chưa được gắn nhãn là “nhạy cảm”; thông qua phương thức liệt kê, kẻ tấn công đã thành công giành được thêm quyền truy cập.
Vercel đã bổ sung trang tổng quan về biến môi trường và giao diện quản lý biến môi trường nhạy cảm được cải tiến, giúp khách hàng nhận diện và bảo vệ rõ ràng hơn các giá trị cấu hình có rủi ro cao.
Ứng phó khẩn cấp của Vercel và danh sách hành động khuyến nghị chính thức
Vercel đã thuê Google Mandiant, các công ty an ninh mạng khác và thông báo cho cơ quan thực thi pháp luật để vào cuộc. Các dự án mã nguồn mở Next.js, Turbopack và Vercel đều đã được xác nhận là an toàn thông qua phân tích chuỗi cung ứng, hiện nền tảng vẫn đang vận hành bình thường.
Hành động an toàn cho khách hàng theo khuyến nghị chính thức
Kiểm tra nhật ký hoạt động: Rà soát nhật ký hoạt động của tài khoản và môi trường, xác định hoạt động đáng ngờ
Luân chuyển biến môi trường: Các biến môi trường chứa thông tin mật (API key, token, thông tin xác thực cơ sở dữ liệu, khóa ký) nhưng chưa được gắn nhãn là nhạy cảm, cần coi như đã bị lộ và ưu tiên luân chuyển
Bật tính năng biến môi trường nhạy cảm: Đảm bảo tất cả các giá trị cấu hình mật đều được gắn nhãn đúng là “nhạy cảm”
Rà soát triển khai gần đây: Điều tra các triển khai bất thường và xóa các phiên bản đáng ngờ
Thiết lập bảo vệ triển khai: Đảm bảo ít nhất được đặt ở mức “Tiêu chuẩn” và luân chuyển token bảo vệ triển khai
Câu hỏi thường gặp
Context.ai là gì, và nó trở thành điểm vào của cuộc tấn công này như thế nào?
Context.ai là một công cụ AI nhỏ của bên thứ ba sử dụng tích hợp Google Workspace OAuth, được nhân viên Vercel dùng cho công việc hằng ngày. Kết quả điều tra cho thấy ứng dụng OAuth của công cụ này trước đó đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng rộng hơn, có thể ảnh hưởng đến hàng trăm người dùng của nhiều tổ chức, và thông tin xác thực tài khoản của nhân viên Vercel đã bị kẻ tấn công lấy được trong quá trình đó.
Các biến môi trường mà Vercel gắn nhãn là “nhạy cảm” có bị ảnh hưởng không?
Hiện tại cuộc điều tra chưa phát hiện bằng chứng nào cho thấy các biến môi trường được gắn nhãn là “nhạy cảm” bị truy cập. Các biến này được lưu trữ theo một cách đặc biệt để ngăn việc đọc. Kẻ bị tấn công đã sử dụng các biến môi trường chưa được gắn nhãn là “nhạy cảm”; thông qua phương thức liệt kê, kẻ tấn công đã thành công giành được thêm quyền truy cập từ chúng.
Khách hàng của Vercel có thể xác nhận xem mình có bị ảnh hưởng hay không?
Nếu bạn chưa nhận được liên hệ trực tiếp từ Vercel, Vercel cho biết hiện không có lý do để tin rằng thông tin xác thực hoặc dữ liệu cá nhân của các khách hàng liên quan đã bị lộ. Vercel khuyến nghị tất cả khách hàng chủ động rà soát nhật ký hoạt động, luân chuyển các biến môi trường chưa được gắn nhãn là nhạy cảm và bật đúng tính năng biến môi trường nhạy cảm. Nếu cần hỗ trợ kỹ thuật, bạn có thể liên hệ Vercel qua vercel.com/help.