Fuzzland安全事件披露与社区公告

Fuzzland
发布于 2025-06-24 16:46
阅读 12

Fuzzland披露了一起安全事件的详细信息，该事件导致Bedrock的UniBTC协议遭到利用。一名前Fuzzland员工利用内部权限，通过社会工程、供应链攻击等手段窃取敏感信息，导致UniBTC协议被利用。Fuzzland已补偿Bedrock的损失，并与安全公司及执法部门合作进行调查，同时分享经验教训，以帮助加密社区加强防御。

## 总结

我们正在披露更多关于去年导致 Bedrock 的 UniBTC 协议被利用的安全事件的细节。一名前 Fuzzland 员工利用内部权限，并部署了高级持续性威胁技术，从我们的系统中窃取敏感信息超过三周。这次利用是由于有人违反了 TLP:RED 协议，访问了关于 Dedaub 报告中发现的漏洞的情报，从而实现的。

我们已经补偿了 Bedrock 的损失，并且正在与领先的安全公司和执法部门密切合作，以支持官方调查。由于我们运营着两个独立的团队和系统，并且所有敏感信息（如私钥）都存储在 TEE 中，因此没有 Fuzzland 客户或客户端数据受到损害。

最重要的是，我们正在分享我们的经验和教训，以帮助更广泛的加密社区加强对类似攻击的防御。我们的团队已经在 Web3 中领导了许多成功的事件响应工作，并且理解讨论错误的价值。

## 事件详情

我们的调查显示，该个人通过结合社会工程、供应链攻击和内部威胁技术来执行他们的攻击。

攻击链

1. 社会工程：该个人在面试中展示了合法的技术技能，包括一个具有自定义策略的功能性 MEV 机器人。

2. 供应链攻击：在 2024 年 9 月 4 日，他们通过 `Cargo.toml` 将一个包含木马的恶意 Rust crate (rands) 引入到我们的 MEV 代码库中。

3. 持久访问：当项目在常见的 IDE（VSCode、JetBrains）中打开时，该木马会自动执行，从而在工程工作站上建立持久访问。

4. 信息收集：该恶意软件未被企业安全解决方案（Falcon、AVG）检测到，并随着时间的推移收集敏感信息。

事件时间线 (2024 年 9 月 26 日)

* 16:30 UTC: Fuzzland 团队开始为客户的 vUSD 救援行动召开紧急响应会议

* 17:07 UTC: 讨论简要提到了 UniBTC 的 Dedaub 漏洞报告，但没有漏洞细节

* 18:28 UTC: [UniBTC 协议被利用](https://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940)
  * 19:16 UTC: 紧急响应会议结束

我们的内部系统在攻击前一天将 UniBTC 合约标记为易受攻击，但由于误报噪音，没有立即采取行动。

## 初步响应

在发现我们的前员工与 UniBTC 漏洞之间的联系后，Fuzzland 立即采取了全面行动：

1. 补偿：我们使用自己的资金补偿了 Bedrock 的损失，以确保受害者得到赔偿。

2. 专家调查：我们聘请了顶级的 Web3 取证公司 zeroShadow，进行彻底的调查和审计，以查找任何潜在的内部勾结。

3. 执法合作：我们已向 FBI 和中国执法部门提交报告，以支持刑事起诉。

4. 行业合作：我们正在与 SEAL 911、zeroShadow 和其他安全领导者密切合作，以加强社区防御。

## 加强加密安全的经验教训

此事件不仅加速了我们的安全投资，还强调了每个协议都应注意的几项行业最佳实践。

供应链安全

* 创建软件物料清单 (SBOM)：为了防止引入恶意或易受攻击的软件包，我们现在已经在所有代码库中实施 SBOM 检查，确保依赖项和软件包经过严格的安全筛选。由于我们的 SBOM 实施，恶意或易受攻击的组件将在集成到我们的系统之前，被我们的 CI/CD 管道自动拒绝。

* 源代码分析：该木马逃避了检测，因为我们的防御针对的是已编译的二进制文件，而不是原始源代码。我们正在通过 CodeQL 和 CodeRabbit 将安全覆盖范围扩展到深入的、预编译的源代码分析，以便在恶意代码到达构建阶段之前将其标记出来。

运营安全

* 权限分离：从这次事件中得出的关键结论之一是，严格分离权限至关重要。如果对敏感信息和横向移动采取更严格的访问控制，则可以防止这次攻击。

* 现场验证：由于所有 Fuzzland 员工都在远程工作，我们之前依赖行业标准的安全检查、面试和技术试验项目来审查候选人。展望未来，我们将为所有新员工增加现场安全检查。

* 加强 KYC：我们还将对所有员工强制执行详细的 KYC 验证，以确保透明度和责任制。

* 信息安全协议：我们将加强对 TLP:RED 和其他敏感情报的正确处理，并实施严格的“需要知道”访问控制。

## 行业合作

最后，这次事件再次强调了加密领域协作安全的重要性。通过共同努力，加密社区可以建立更强大的防御体系。

我们感谢任何帮助我们分析并从中学习的人，并感谢以下合作伙伴：

* Bedrock：感谢他们在整个事件中的专业合作。

* SEAL 911：感谢他们的快速响应能力和作战室协调。

* zeroShadow：感谢他们的专业取证分析和调查支持。

* Slowmist：感谢他们的安全建议和最佳实践指导。

## 入侵指标 (IoCs)

供安全团队监控其环境：

* 64.31.3.22

* 183.2.226.250

* 222.253.85.125

## 恶意软件样本 (VirusTotal):

* [https://www.virustotal.com/gui/file/dbd0a6c72ea4d8ab16d5b044be0d90ee8c1a276944b02d850f1bbef0a591c534](https://www.virustotal.com/gui/file/dbd0a6c72ea4d8ab16d5b044be0d90ee8c1a276944b02d850f1bbef0a591c534)

* [https://www.virustotal.com/gui/file/64ecb780fdcac105559d3ca3254b3a22dfd87092c736d63c0b65e38b5b4961de](https://www.virustotal.com/gui/file/64ecb780fdcac105559d3ca3254b3a22dfd87092c736d63c0b65e38b5b4961de)

## 联系方式

如需详细的调查报告：legal@fuzz.land

对于社区安全合作伙伴关系和情报共享，我们欢迎其他协议和安全组织的合作。

*此披露是 Fuzzland 致力于在加密生态系统中实现透明度和集体安全的一部分。我们相信，通过分享我们的经验和教训，我们可以帮助整个社区建立更强大的防御体系，以应对共同的安全威胁。

>- 原文链接： [x.com/fuzzland_/status/1...](https://x.com/fuzzland_/status/1937065361968701646)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

总结

事件详情

我们的调查显示，该个人通过结合社会工程、供应链攻击和内部威胁技术来执行他们的攻击。

攻击链

社会工程：该个人在面试中展示了合法的技术技能，包括一个具有自定义策略的功能性 MEV 机器人。
供应链攻击：在 2024 年 9 月 4 日，他们通过 Cargo.toml 将一个包含木马的恶意 Rust crate (rands) 引入到我们的 MEV 代码库中。
持久访问：当项目在常见的 IDE（VSCode、JetBrains）中打开时，该木马会自动执行，从而在工程工作站上建立持久访问。
信息收集：该恶意软件未被企业安全解决方案（Falcon、AVG）检测到，并随着时间的推移收集敏感信息。

事件时间线 (2024 年 9 月 26 日)

16:30 UTC: Fuzzland 团队开始为客户的 vUSD 救援行动召开紧急响应会议
17:07 UTC: 讨论简要提到了 UniBTC 的 Dedaub 漏洞报告，但没有漏洞细节
18:28 UTC: UniBTC 协议被利用
19:16 UTC: 紧急响应会议结束

我们的内部系统在攻击前一天将 UniBTC 合约标记为易受攻击，但由于误报噪音，没有立即采取行动。

初步响应

在发现我们的前员工与 UniBTC 漏洞之间的联系后，Fuzzland 立即采取了全面行动：

补偿：我们使用自己的资金补偿了 Bedrock 的损失，以确保受害者得到赔偿。
专家调查：我们聘请了顶级的 Web3 取证公司 zeroShadow，进行彻底的调查和审计，以查找任何潜在的内部勾结。
执法合作：我们已向 FBI 和中国执法部门提交报告，以支持刑事起诉。
行业合作：我们正在与 SEAL 911、zeroShadow 和其他安全领导者密切合作，以加强社区防御。

加强加密安全的经验教训

此事件不仅加速了我们的安全投资，还强调了每个协议都应注意的几项行业最佳实践。

供应链安全

创建软件物料清单 (SBOM)：为了防止引入恶意或易受攻击的软件包，我们现在已经在所有代码库中实施 SBOM 检查，确保依赖项和软件包经过严格的安全筛选。由于我们的 SBOM 实施，恶意或易受攻击的组件将在集成到我们的系统之前，被我们的 CI/CD 管道自动拒绝。
源代码分析：该木马逃避了检测，因为我们的防御针对的是已编译的二进制文件，而不是原始源代码。我们正在通过 CodeQL 和 CodeRabbit 将安全覆盖范围扩展到深入的、预编译的源代码分析，以便在恶意代码到达构建阶段之前将其标记出来。

运营安全

权限分离：从这次事件中得出的关键结论之一是，严格分离权限至关重要。如果对敏感信息和横向移动采取更严格的访问控制，则可以防止这次攻击。
现场验证：由于所有 Fuzzland 员工都在远程工作，我们之前依赖行业标准的安全检查、面试和技术试验项目来审查候选人。展望未来，我们将为所有新员工增加现场安全检查。
加强 KYC：我们还将对所有员工强制执行详细的 KYC 验证，以确保透明度和责任制。
信息安全协议：我们将加强对 TLP:RED 和其他敏感情报的正确处理，并实施严格的“需要知道”访问控制。

行业合作

最后，这次事件再次强调了加密领域协作安全的重要性。通过共同努力，加密社区可以建立更强大的防御体系。

我们感谢任何帮助我们分析并从中学习的人，并感谢以下合作伙伴：

Bedrock：感谢他们在整个事件中的专业合作。
SEAL 911：感谢他们的快速响应能力和作战室协调。
zeroShadow：感谢他们的专业取证分析和调查支持。
Slowmist：感谢他们的安全建议和最佳实践指导。

入侵指标 (IoCs)

供安全团队监控其环境：

64.31.3.22
183.2.226.250
222.253.85.125

恶意软件样本 (VirusTotal):

联系方式