Một công việc nội bộ

Công ty phân tích hợp đồng thông minh Fuzzland đã tiết lộ rằng một cựu nhân viên đã chỉ đạo một vụ khai thác trị giá 2 triệu đô la vào giao thức UniBTC của Bedrock vào tháng 9 năm 2024.

Theo báo cáo minh bạch được công bố trong tuần này, kẻ trong cuộc đã sử dụng kỹ thuật xã hội, tấn công chuỗi cung ứng và các kỹ thuật đe dọa dai dẳng tiên tiến (APT) để đánh cắp dữ liệu nhạy cảm trong ba tuần.

Kẻ tấn công đã khai thác lỗ hổng trong UniBTC ngay sau khi vấn đề này được thảo luận nội bộ trong cuộc gọi phản hồi khẩn cấp, tận dụng quyền truy cập đặc quyền để vượt qua các biện pháp bảo mật.

Khi cựu nhân viên này biết về lỗ hổng bảo mật, anh ta đã cài một mã độc tạo ra cửa hậu trong các máy trạm kỹ thuật và không bị phát hiện trong nhiều tuần.

Quyền truy cập này cho phép kẻ tấn công khai thác lỗ hổng bảo mật được xác định lần đầu tiên trong báo cáo của Dedaub – thông tin tình báo bị truy cập trái phép thông qua các hệ thống nội bộ bị xâm phạm.

Fuzzland thừa nhận họ đã phát hiện ra lỗ hổng trước cuộc tấn công nhưng lại hạ mức độ ưu tiên do "nhiễu dương tính giả", một sự giám sát nghiêm trọng đã cho phép khai thác tiếp tục.

Fuzzland đã bồi thường toàn bộ số tiền 2 triệu đô la cho Bedrock và tiến hành cuộc điều tra chung với công ty an ninh mạng ZeroShadow.

Công ty đã nộp báo cáo cho cơ quan thực thi pháp luật Trung Quốc và FBI, đồng thời hợp tác với Seal 911 và SlowMist để phát triển các tiêu chuẩn bảo mật nâng cao.

Nhưng quan trọng nhất là không có dữ liệu khách hàng nào bị xâm phạm vì vi phạm chỉ xảy ra trong môi trường nội bộ.

Bất chấp cuộc tấn công vào tháng 9 năm 2024 đã rút 2 triệu đô la từ các nhóm giao dịch phi tập trung của UniBTC, Bedrock – một giao thức khôi phục thanh khoản đa tài sản – đã chứng minh được sự phục hồi đáng kể.

Theo DefiLlama, tổng giá trị bị khóa (TVL) đã tăng vọt từ 240 triệu đô la tại thời điểm khai thác lên 535 triệu đô la vào tháng 6 năm 2025.

Các sản phẩm UniBTC, UniETH và UniLOTX của Bedrock cho phép người dùng kiếm lợi nhuận thông qua việc biểu diễn tổng hợp các mã thông báo blockchain chính.

Cuộc tấn công nội gián này xảy ra trong bối cảnh có sự thay đổi đáng lo ngại về mô hình trộm cắp tiền điện tử. Công ty bảo mật blockchain CertiK báo cáo rằng hơn 2,1 tỷ đô la đã bị đánh cắp vào năm 2025, với các vụ lừa đảo và xâm phạm ví hiện vượt qua các lỗ hổng hợp đồng thông minh như các vectơ tấn công chính.