A Fuzzland divulgou um ataque interno de US$ 2 milhões que visou o protocolo UniBTC da Bedrock em setembro de 2024, realizado por um ex-funcionário que usou malware, engenharia social e acesso privilegiado para comprometer sistemas internos.

A Fuzzland assumiu total responsabilidade pela violação e reembolsou todas as partes afetadas.

Acesso Interno Usado na Exploração do Protocolo Bedrock de US$ 2M

A Fuzzland, em uma postagem no X, revelou que um ex-funcionário explorou o protocolo UniBTC por meio de uma sofisticada operação interna. O indivíduo se juntou à empresa sob a aparência de um desenvolvedor MEV habilidoso e mais tarde inseriu um trojan no código MEV da Fuzzland usando um crate Rust malicioso chamado rands.

https://t.co/zGdP4bKWzI

— 𝕗𝕦𝕫𝕫𝕝𝕒𝕟𝕕 (@fuzzland_) 23 de junho de 2025

O vetor de ataque começou com engenharia social. O ex-funcionário impressionou durante as entrevistas e demonstrou um bot MEV funcional, ganhando acesso à infraestrutura da empresa.

Em 4 de setembro de 2024, o atacante modificou o arquivo Cargo.toml do projeto para incluir o trojan, que foi auto-executado em IDEs comumente usadas, como VSCode e JetBrains.

O malware permitiu acesso persistente e indetectado a estações de trabalho de engenharia por mais de três semanas. Ferramentas de segurança como Falcon e AVG falharam em detectar a intrusão.

No entanto, em 26 de setembro, a Fuzzland discutiu uma vulnerabilidade no UniBTC, descoberta em um relatório da Dedaub, durante uma chamada de emergência. Pouco mais de uma hora depois, às 18:28 UTC, o protocolo UniBTC foi explorado.

👨🏻‍💻 @Bedrock_DeFi, um protocolo de staking líquido multi-ativo, confirmou que sofreu uma violação de segurança envolvendo seu token sintético Bitcoin, uniBTC. #Hack #DeFi https://t.co/fRStCw7hK1

— Cryptonews.com (@cryptonews) 27 de setembro de 2024

Em resposta, a Fuzzland compensou a Bedrock por suas perdas usando fundos da empresa. A empresa contratou a firma de segurança Web3 zeroShadow para investigar a violação e descartar qualquer conluio interno. Também apresentou relatórios tanto ao FBI quanto à polícia chinesa para buscar ação criminal.

Apesar do ataque, o valor total bloqueado (TVL) da Bedrock cresceu de US$ 240 milhões em setembro de 2024 para US$ 535 milhões em junho de 2025, de acordo com dados da DeFiLlama.

Fuzzland Lança Grande Reestruturação de Segurança em Meio ao Aumento de Hacks de Criptomoedas na Indústria

Para proteger seus sistemas de futuras incidências, a Fuzzland lançou novos controles internos e adotou procedimentos de triagem aprimorados.

Isso inclui triagens de funcionários no local, verificação detalhada de conhecimento do funcionário (KYE) e separação rígida de privilégios. Sistemas sensíveis permanecem isolados, e chaves privadas são protegidas em ambientes de execução confiáveis (TEEs).

De acordo com seu relatório, a Fuzzland implementou verificações de software de lista de materiais (SBOM) em todos os códigos. Isso garante que quaisquer dependências maliciosas sejam sinalizadas antes da implantação.

A Fuzzland também expandiu suas capacidades de análise de código-fonte integrando ferramentas como CodeQL e CodeRabbit.

Além disso, a Fuzzland reforçou seus protocolos para lidar com inteligência sob TLP:RED, garantindo acesso estrito baseado em necessidade para informações sobre vulnerabilidades.

A Fuzzland também reconheceu as contribuições da Bedrock, SEAL 911, Slowmist e zeroShadow na coordenação de uma resposta rápida. Compartilhou indicadores de ameaça, como endereços IP suspeitos e amostras de malware no VirusTotal, para auxiliar a comunidade de segurança mais ampla.

🚨Os hacks e fraudes em criptomoedas atingiram US$ 364 milhões em abril, impulsionados por um roubo de phishing de US$ 331 milhões, à medida que ameaças de engenharia social aumentam. #CryptoHacks #BlockchainSecurity https://t.co/4xOe5Qnpkr

— Cryptonews.com (@cryptonews) 1 de maio de 2025

Notavelmente, a indústria de criptomoedas continua a ver um aumento em hacks de criptomoedas impulsionados por phishing e engenharia social. A firma de segurança blockchain CertiK relatou que mais de US$ 364 milhões foram roubados em abril de 2025. Isso representou um aumento de 1.163% em relação aos US$ 28,8 milhões roubados em março.

Em uma das violações mais severas do ano, hackers roubaram 3.520 Bitcoins no valor de US$ 330,7 milhões de um cidadão idoso dos EUA.

Enquanto isso, o maior hack até agora continua a ser o hack da Bybit em 21 de fevereiro. A exchange sofreu uma grave violação de segurança, resultando no hack de US$ 1,5 bilhão em ETH.

A postagem Ex-Funcionário Hacks Bedrock UniBTC por US$ 2M: Fuzzland Descobre Exploração Interna apareceu primeiro no Cryptonews.