2024年9月,备受关注的Bedrock UniBTC协议遭遇了一场价值200万美元的安全漏洞攻击。经过细致调查,智能合约安全分析平台Fuzzland公布了一份透明度报告,指明此次攻击背后竟是一名前员工利用内部权限和恶意技术的复杂操作。这一事件不仅震动了整个去中心化金融(DeFi)领域,也为整个区块链安全生态敲响了警钟。 Bedrock作为领先的多资产流动性再质押协议,推出了UniBTC、UniETH和UniLOTX等产品,通过合成资产形态为用户提供收益机制,其核心价值在于通过智能合约技术实现区块链资产的质押和收益生成。此次被攻击的UniBTC产品专注于比特币的合成代表和流动性挖掘,其安全性备受投资者重视。然而,多重安全漏洞被内部人员猎取并利用后,沉睡的风险迅速被激活。
Fuzzland的调查显示,前员工利用社会工程学手段配合供应链攻击策略,有计划地植入恶意代码,这些代码通过在工程工作站中植入后门,持续数周未被察觉。通过这种隐蔽的持久威胁(APT)技术,该攻击者获取关键敏感数据,进而掌握了在紧急响应电话会议中内部讨论的安全漏洞信息。这一漏洞最初由安全公司Dedaub报告,但当时因误报噪音被Fuzzland标记为优先级较低,未能及时修复。 这起事件充分体现了智能合约安全不仅仅是代码安全问题,更涉及到整体供应链安全、人员管理和内部风险把控。Fuzzland强调,攻击非来自外部黑客,而是源于具有合法访问权限的内部人员,这种难以防范的内部威胁对整个区块链机构提出了更高的安全要求。 Bedrock官方于2024年9月27日确认遭受攻击。
攻击者利用上述漏洞成功从其去中心化交易池中抽取了200万美元流动性资金,造成短期重大损失。值得关注的是,尽管经历此次安全事件,Bedrock的总锁仓价值(TVL)依然由同年9月至2025年6月间,从2.4亿美元激增至超过5.35亿美元,显示出用户对该平台的持续信心和加密市场整体的强劲增长势头。 作为补救措施,Fuzzland主动向Bedrock赔偿了此次损失金额,并联合安全公司ZeroShadow开启联合调查。同时,事件相关报告迅速提交至中国执法机关与美国联邦调查局(FBI),并与业内知名安全防护机构Seal 911和SlowMist深入合作,加强行业整体标准和防御体系的构建。该事件所暴露出的风险提醒行业,必须构建多层次、多维度的安全防御框架,涵盖从代码审计、供应链验证到员工访问权限的全面监管。 此外,这起事件还反映出攻击方式的演变趋势。
区块链安全公司CertiK同样发布数据显示,2025年加密资产相关攻击金额已突破21亿美元,攻击策略正从传统的智能合约漏洞利用转向社会工程学攻击及钓鱼诈骗等手段。社工攻击的增长标志黑客更加注重利用人性弱点获取关键权限和数据,传统单一技术防护方式已难以遏制此类风险。 业内专家呼吁,区块链企业和生态不仅要在技术层面加大安全投入,更需在管理制度、员工培训及安全文化塑造上下功夫。透明及时的事件披露和多方协作调查有助于恢复社区信任,推动行业健康发展。此次Bedrock UniBTC事件无疑为全球去中心化金融平台提供了警示范例。 总的来说,Fuzzland对前员工利用内部权限发动大规模攻击的披露,揭示了当前加密领域内部风险的严峻性。
该事件不仅揭示了技术漏洞修复流程的不完善,也凸显了人才管理和供应链安全的重要性。只有在强化内部控制、完善应急响应机制和提升社会工程防范意识的基础上,加密资产生态才能构筑起更坚实的安全防线,抵御日益多样化的威胁。未来,区块链安全领域将继续面临更多挑战,并需不断创新技术与制度保障,共建加密世界的信任基础。
