Fuite de sécurité chez Vercel expose les clés API des développeurs crypto via un outil d'IA compromis

Résumé exécutif

Vercel, la plateforme cloud qui alimente des milliers d’interfaces web3, a subi une violation de sécurité qui a divulgué des clés API utilisées par les développeurs crypto. La faille, attribuée à un outil de développement alimenté par l'IA compromis, a donné aux attaquants un accès temporaire aux services backend qui connectent les portefeuilles web3 et les interfaces de trading.

Ce qui s'est passé

Le 24 avril 2026, Vercel a confirmé qu’une partie non autorisée avait accédé à son environnement interne via un utilitaire d'IA tiers que les développeurs utilisent régulièrement pour la génération de code. L’intrusion a exposé des dizaines d’identifiants API intégrés dans des projets front‑end qui reposent sur le pipeline de déploiement de Vercel. Ces identifiants alimentent les connexions entre les applications orientées utilisateur et les back‑ends blockchain tels que les moteurs d’appariement d’ordres, les flux de prix et les places de marché NFT.

Les développeurs crypto hébergeant leurs couches UI sur Vercel ont rapidement fait pivoter les clés compromises. Les journaux d’analyse préliminaires montrent que des acteurs malveillants ont tenté d’appeler des points d’accès backend, pouvant siphonner des données de transaction ou manipuler des ordres de trading. L’équipe sécurité de Vercel a corrigé l’intégration vulnérable et travaille avec les équipes affectées pour sécuriser leurs services.

Le PDG de la plateforme, Guillermo Rauch, a souligné que l’infrastructure de base de Vercel reste intacte et que la faille était limitée aux secrets fournis par les développeurs. Néanmoins, l’incident met en lumière la surface d’attaque croissante dans la pile web3, où les déploiements front‑end et les outils assistés par l’IA se croisent.

Instantané des données de marché