Fuzzland, 2 Milyon Dolarlık UniBTC Açığından Eski Çalışanını Sorumlu Tutuyor

Akıllı sözleşme analitik platformu Fuzzland, Eylül 2024'te Bedrock'un UniBTC protokolünü hedef alan 2 milyon dolarlık bir istismardan eski bir çalışanını sorumlu tuttuğunu açıkladı. Fuzzland'in yeni şeffaflık raporuna göre, içeriden biri, saldırıyı gerçekleştirmek için sosyal mühendislik taktikleri, tedarik zinciri saldırıları ve gelişmiş kalıcı tehdit tekniklerini kullandı. Platform, saldırganın, UniBTC'deki güvenlik açığından, acil durum yanıt çağrısında dahili olarak tartışıldıktan sonra yararlandığını belirtti.

Şirket ayrıca, eski çalışanının mühendislik iş istasyonlarında arka kapılar oluşturan kötü amaçlı bir kod yerleştirdiğini ve bunun haftalarca tespit edilemediğini ekledi. Erişim, saldırganın hassas bilgileri almasına ve Dedaub raporunda ilk olarak işaret edilen güvenlik açığı üzerinde harekete geçmesine olanak sağladı. Fuzzland, saldırıdan önce güvenlik açığını tespit ettiğini ancak yanlış pozitif gürültü nedeniyle önceliklendirilmediğini iddia etti.

Akıllı sözleşme güvenlik platformu, Bedrock'a zararlar için tazminat ödediğini ve güvenlik firması ZeroShadow ile ortak bir soruşturma başlattığını belirtti. Ayrıca, Çin kolluk kuvvetlerine ve FBI'a raporlar sundu. Ayrıca, sektör genelinde güvenlik standartlarını geliştirmek için Seal 911 ve SlowMist ile çalıştığını belirtti. Olay nedeniyle yaklaşık 2 milyon dolarlık bir kayıp olmasına rağmen, Fuzzland, hiçbir müşteri verisinin ihlalden etkilenmediğini söyledi. Şirket, olayın ayrı bir dahili ortamda izole edildiğini belirtti.

Bedrock, UniBTC, UniETH ve UniLOTX ürünleri sunan, çok varlıklı bir likit restaking protokolüdür. Bu sentetik temsiller, kullanıcıların staking yoluyla getiri elde etmelerini sağlar. 27 Eylül'de Bedrock, UniBTC ürününü etkileyen bir istismara uğradığını doğruladı. Saldırgan, merkeziyetsiz değişim havuzlarından 2 milyon dolarlık likiditeyi boşalttı. DefiLlama'ya göre, hack'e rağmen, Bedrock'un toplam kilitli değeri (TVL), Eylül 2024'teki 240 milyon dolardan Haziran 2025'te 535 milyon dolara yükseldi.

Rapor, hackerların akıllı sözleşme açıkları yerine sosyal mühendislik planlarına giderek daha fazla yönelmesiyle ortaya çıktı. 4 Haziran'da, blockchain güvenlik firması CertiK, 2025'te kripto ile ilgili saldırılarda 2,1 milyar dolardan fazla para çalındığını bildirdi. Şirket, kayıpların çoğunun kimlik avı saldırılarından ve cüzdan ihlallerinden kaynaklandığını söyledi. CertiK kurucu ortağı Ronghui Gu, sosyal mühendislik saldırılarındaki artışın, hackerların stratejilerini değiştirdiğini gösterdiğini belirtti.