В криптовалютной индустрии вопросы безопасности остаются одной из ключевых проблем, особенно когда речь идет о децентрализованных протоколах и смарт-контрактах. Недавно Серия событий вокруг взлома протокола UniBTC, принадлежащего Bedrock, стала предметом широкого общественного обсуждения не только вследствие крупного ущерба, но и из-за участия в атаке бывшего сотрудника компании Fuzzland, специализирующейся на безопасности смарт-контрактов. Потеря средств составила около 2 миллионов долларов, что немедленно встревожило как пользователей платформы, так и всю индустрию DeFi. Инцидент произошел в сентябре 2024 года, и вскоре после атаки были раскрыты подробности, которые проливают свет на сложность подобных киберпреступлений и на значимость внутренней безопасности в технологических компаниях. Согласно отчету, опубликованному Fuzzland, непосредственным виновником кражи стал сотрудник компании, имевший инсайдерский доступ к внутренним системам и используемый для внедрения вредоносного кода.
Этот код создал «чёрные ходы» в рабочих станциях инженеров, что позволило злоумышленнику не только украсть конфиденциальные данные, но и воспользоваться уязвимостью, выявленной в смарт-контрактах UniBTC, которую обсуждали на внутреннем экстренном собрании. Целью атаки стало выкачивание ликвидности — хакер смог вывести $2 миллиона из пулов ликвидности децентрализованных обменников, работающих с UniBTC, при этом остальные продукты Bedrock, такие как UniETH и UnilOTX, остались не затронутыми. Несмотря на серьезные последствия, сама платформа смогла быстро стабилизировать ситуацию и даже увеличить свою общую “заблокированную стоимость” (TVL) с $240 миллионов до $535 миллионов в течение девяти месяцев после инцидента, что говорит о доверии сообщества и растущем интересе к проекту. Анализ происшедшего показывает, что ключевая проблема заключалась не только в наличии уязвимости, но и в том, что Fuzzland уже имел данные о потенциальной проблеме, но из-за большого количества ложных срабатываний она была поставлена в низкий приоритет. Это подчеркивает важность более эффективной фильтрации и обработки сигнала в системах обнаружения уязвимостей.
Помимо технических аспектов, инцидент ярко демонстрирует опасность социальных инженерных атак и внутренних угроз. Помимо непосредственного внедрения вредоносного кода, злоумышленник применял методы социальной инженерии и атаку на цепочку поставок, что говорит о высоком уровне подготовки и целенаправленности действия. Данный случай стал тревожным звоночком для индустрии блокчейн-безопасности, указывая на необходимость расширения контроля над внутренним доступом и внедрения многослойных мер защиты, которые способны выявлять и устранять угрозы на ранних этапах. После раскрытия инцидента Fuzzland взяла на себя обязательство компенсировать заработанный ущерб Bedrock и инициировала совместное расследование вместе с независимой фирмой ZeroShadow. Кроме того, в расследование вовлекли правоохранительные органы Китая и ФБР, что подчеркивает международный характер киберпреступлений и важность глобального сотрудничества для успешного противодействия им.
Для повышения отраслевых стандартов безопасности Fuzzland начала сотрудничество с компаниями Seal 911 и SlowMist, известными своими передовыми решениями в области защиты блокчейн-проектов и смарт-контрактов. Помимо инцидента с UniBTC, есть тенденция к увеличению количества атак, основанных на социальной инженерии, в частности фишинговых схем и компрометации криптокошельков. По данным фирмы CertiK, в 2025 году общий объем украденных средств в результате подобных атак превышает $2.1 миллиарда, что отражает серьезный сдвиг в схеме атак и указывает на необходимость усиления обучения пользователей и повышения культуры безопасности во всем криптосообществе. Bedrock является одним из лидеров среди многоактивных протоколов Liquid Restaking, предоставляя пользователям возможность получения дохода от стейкинга при помощи синтетических токенов, таких как UniBTC, UniETH и UnilOTX.
Эти продукты позволяют эффективно управлять активами с минимальным риском потери ликвидности. Инцидент с UniBTC стал важным сигналом для всей отрасли, что даже известные и надежные проекты могут стать мишенью как внешних злоумышленников, так и инсайдеров. Это сделало вопрос внутреннего аудита, контроля доступа и прозрачноcти особенно острым. Прозрачность и быстрая реакция со стороны Fuzzland и Bedrock во многом помогли минимизировать негативные последствия и сохранить доверие пользователей. Также произошедшее подчеркнуло необходимость инвестиций в профессиональную безопасность, регулярные аудиты и автоматизацию процессов выявления уязвимостей.
В дополнение к техническим мерам важна работа с человеческим фактором – обучение сотрудников, создание корпоративной культуры безопасности и введение строгих процедур по контролю доступа. В целом, взлом UniBTC на $2 миллиона с участием бывшего сотрудника Fuzzland демонстрирует, что технологии и инновации в DeFi нуждаются не только в совершенствовании кода, но и в надежных системах управления рисками, включающих как технические, так и организационные решения. Индустрия должна извлечь уроки из этой истории, усилить меры защиты и сделать безопасность приоритетом, чтобы обеспечить устойчивое развитие децентрализованных финансов и сохранить доверие миллионов пользователей по всему миру.
