信頼とアクセスが内部から武器化されると、最も堅牢なプロトコルであっても、それを保護する人々と同様に脆弱になります。

Fuzzlandは、2024年9月にBedrockのUniBTCプロトコルを標的とした200万ドル規模の内部者攻撃があったことを明らかにしました。この攻撃は、マルウェア、ソーシャルエンジニアリング、特権アクセスを使用して内部システムを侵害した元従業員によって実行されました。

Fuzzland は違反について全責任を負い、影響を受けたすべての関係者に補償しました。

200万ドル相当のBedrock Protocolエクスプロイトで内部アクセスが利用される

FuzzlandはXへの投稿で、元従業員が高度な内部工作によってUniBTCプロトコルを悪用したことを明かしました。この人物は熟練したMEV開発者を装って同社に入社し、後にrandsという悪意のあるRustクレートを用いてFuzzlandのMEVコードベースにトロイの木馬を挿入しました。

攻撃ベクトルはソーシャルエンジニアリングから始まりました。元従業員は面接で好印象を与え、実際に機能するMEVボットを実演し、会社のインフラへのアクセスを獲得しました。

2024 年 9 月 4 日、攻撃者はプロジェクトの Cargo.tomlファイルを変更してトロイの木馬を組み込み、VSCode や JetBrains などの一般的に使用されている IDE で自動実行しました。

このマルウェアは、3週間以上にわたり、エンジニアリングワークステーションへの検知されない永続的なアクセスを可能にしました。FalconやAVGなどのセキュリティツールは、この侵入を検知できませんでした。

しかし、9月26日、Fuzzlandは緊急通話中に、Dedaubのレポートで発見されたUniBTCの脆弱性について議論しました。それからわずか1時間後の18時28分（UTC）、UniBTCプロトコルが悪用されました。

これに対し、Fuzzlandは自社資金を用いてBedrockの損失を補償しました。同社はWeb3セキュリティ企業zeroShadowに情報漏洩の調査を依頼し、内部の共謀の可能性を排除しました。また、FBIと中国の法執行機関に報告書を提出し、刑事訴追を目指しました。

DeFiLlamaのデータによると、攻撃にもかかわらず、Bedrockのロックされた総価値（TVL）は2024年9月の2億4000万ドルから2025年6月の5億3500万ドルに増加しました。

暗号資産ハッキングが業界全体で急増する中、Fuzzlandがセキュリティの大幅な刷新を開始

将来の事故からシステムを守るために、Fuzzland は新しい内部統制を導入し、強化された審査手順を採用しました。

これには、現場での従業員スクリーニング、詳細な従業員確認（KYE）、厳格な権限分離が含まれます。機密システムは隔離され、秘密鍵は信頼できる実行環境（TEE）で保護されます。

同社のレポートによると、Fuzzlandはすべてのコードベースにソフトウェア部品表（SBOM）チェックを導入しており、これにより、悪意のある依存関係はデプロイメント前に確実に検出されます。

Fuzzland は、CodeQL や CodeRabbit などのツールを統合することで、ソースコード分析機能も拡張しました。

さらに、Fuzzland は TLP:RED に基づくインテリジェンス処理のプロトコルを強化し、脆弱性情報については必要最低限のアクセスのみを厳格に保証しました。

Fuzzlandは、迅速な対応の調整に貢献したBedrock、SEAL 911、Slowmist、zeroShadowにも感謝の意を表しました。また、疑わしいIPアドレスやVirusTotal上のマルウェアサンプルなどの脅威指標を共有し、セキュリティコミュニティ全体を支援しました。

特筆すべきは、暗号資産業界ではフィッシングやソーシャルエンジニアリングによるハッキングが引き続き増加していることです。ブロックチェーンセキュリティ企業CertiKは、2025年4月に3億6,400万ドル以上が盗難されたと報告しました。これは、3月に盗難された2,880万ドルから1,163%の増加に相当します。

今年最も深刻な侵害事件の一つで、ハッカーは米国の高齢者から3億3070万ドル相当の3,520ビットコインを盗みました。

一方、これまでで最大のハッキングは、2月21日のBybitのハッキングです。この取引所は大規模なセキュリティ侵害に見舞われ、15億ドル相当のETHがハッキングされました。