Gate Исследовательский институт: Итоги третьего квартала безопасности 2025 года

Последний отчет Gate о безопасности в индустрии Web3 сообщает, что согласно данным Slowmist, в марте 2025 года произошло 8 инцидентов безопасности, общие потери составили около 14,43 миллиона долларов. Типы инцидентов разнообразны, среди которых наибольшее количество случаев связано с взломом аккаунтов и уязвимостями контрактов, что составляет 62,5%. В отчете подробно анализируются ключевые инциденты безопасности, включая атаку на уязвимость контракта 1inch и утечку закрытого ключа у Zoth. Взлом аккаунтов и уязвимости контрактов определены как основные риски безопасности этого месяца, подчеркивающие необходимость постоянного усиления мер безопасности в индустрии.

Резюме

• В марте 2025 года в индустрии Web3 произошло 8 инцидентов безопасности, общие убытки составили 14,43 миллиона долларов, что является значительным снижением по сравнению с прошлым месяцем.
• В этом месяце основные инциденты безопасности касались уязвимостей контрактов, атак на аккаунты и других методов, составивших 62.5% от общего числа инцидентов безопасности в криптоиндустрии.
• В этом месяце важные события включают в себя атаку на 1inch с использованием уязвимости контракта (потеря 5 миллионов долларов, 90% уже возвращено), а также две атаки на Zoth: одна связана с уязвимостью контракта, а другая с утечкой Закрытого ключа (общая потеря составила 8.575 миллионов долларов).
• Судя по распределению потерь по блокчейнам в связи с инцидентами безопасности, в этом месяце только один проект понес убытки на публичной сети BSC.

Обзор безопасности

Согласно данным Slowmist, с 1 по 30 марта 2025 года было зафиксировано 8 инцидентов безопасности, общие убытки составили 14,43 миллиона долларов США. Атаки в основном связаны с уязвимостями контрактов, хакерскими атаками на аккаунты и другими методами. По сравнению с февралем 2025 года общая сумма убытков снизилась на 99%. Уязвимости контрактов и взлом аккаунтов стали основными причинами атак, связанных с 5 случаями хакерских атак, что составляет 62,5% от общего числа. Официальные X аккаунты по-прежнему являются главной целью хакеров.【1】

! [](https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/719e7ded8887436f22a9030099ffa21f2c25fa29.webp019283746574839201

В этом месяце только на публичной цепи BSC произошло событие безопасности, проект Four.Meme потерял более 180000 долларов, что показывает, что экосистема BSC все еще имеет пространство для постоянной оптимизации в области аудита смарт-контрактов, механизмов управления рисками и мониторинга в цепочке.

В этом месяце несколько блокчейн-проектов столкнулись с серьезными инцидентами безопасности, что привело к значительным финансовым потерям. К наиболее заметным событиям относятся два нападения на платформу залога RWA Zoth: одно из них привело к потере 8,29 миллиона долларов из-за хакерской атаки, а другое — к потере 285 тысяч долларов из-за уязвимости контракта; кроме того, DEX-агрегатор 1inch также понес убытки в размере 5 миллионов долларов из-за уязвимости контракта.

##重大安全ные события марта

Согласно официальным данным, убытки от следующих проектов в марте превысили 13,5 миллиона долларов. Утечка закрытого ключа и уязвимости в контракте являются двумя основными угрозами.

! [])https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/69aa576703545777f273863b6125b7352c5b67eb.webp(

• 1inch потерял 5 миллионов долларов, атакующий использовал уязвимость в старой версии контракта Fusion v1, чтобы украсть около 5 миллионов долларов в USDC и wETH; затронутые средства поступили от парсера, а не от пользовательских активов.
• Zoth подвергся двум атакам, общие убытки составили 8,575,000 долларов. 6 марта из-за уязвимости в расчете залога было потеряно около 285,000 долларов; 21 марта хакер получил права администратора и обновил контракт до вредоносной версии, похитив около 8,290,000 долларов в USD0++, которые в конечном итоге были обменены на 4,223 ETH.

) 1 дюйм

Обзор проекта: 1inch — это децентрализованный агрегатор обмена, который призван повышать эффективность торговли и использование средств, находя для пользователей оптимальные ценовые пути через умные алгоритмы на нескольких децентрализованных биржах. Согласно данным с официального сайта, 1inch интегрировал более 3,2 миллиона источников ликвидности, общий объем торгов превысил 596 миллиардов долларов, а количество пользователей составляет более 21,7 миллиона, было проведено более 134 миллионов сделок. 【2】

Сводка события: 1inch 5 марта из-за уязвимости в старой версии контракта Fusion v1 понесла убытки в размере около 5 миллионов долларов. Хакеры использовали эту уязвимость для кражи около 5 миллионов долларов USDC и wETH, при этом задействованные средства принадлежали парсеру (то есть сущности, представляющей пользователей при выполнении заказов), а не активам конечных пользователей. Согласно послематчевому расследованию, уязвимость существовала в устаревшем смарт-контракте, и хакеры перемещали средства из парсера, вызывая соответствующие функции через тщательно сконструированные торговые пути, тогда как в текущей версии контракта этой уязвимости нет.

Согласно послесловию Decurity, команда 1inch вела переговоры с Хакером после инцидента, большая часть украденных средств была возвращена (на данный момент возвращено 90%), Хакер оставил часть в качестве вознаграждения за уязвимость. Эта атака в основном затронула устаревшие версии парсеров, которые не были своевременно обновлены, активы обычных пользователей не пострадали напрямую, также не было зафиксировано массового вывода средств пользователей. Этот инцидент подчеркивает важность своевременной очистки и обновления устаревших контрактов.

Анализ после инцидента:

• Укрепление управления старыми версиями контрактов и контроля доступа: для устаревших смарт-контрактов (например, Fusion v1) необходимо принять меры по их полному отключению, заморозке прав или принудительной миграции, чтобы предотвратить потенциальные уязвимости из-за сохранения совместимости. В то же время, улучшить логику контроля доступа, усилить проверку источников вызовов и ограничения прав, чтобы предотвратить использование неожиданных путей вызова.
• Улучшение процесса и объема аудита: Включить периферийные модули (например, resolver), связанные с основным контрактом, в официальную область аудита, четко определить границы рисков для каждого компонента. После рефакторинга структуры кода, обновления языка или изменения интерфейса необходимо повторно инициировать процесс аудита и сохранить записи о рисках старой версии.
• Создание системы мониторинга в реальном времени и реагирования на чрезвычайные ситуации: развертывание системы безопасности мониторинга на блокчейне, которая в реальном времени фиксирует аномальное поведение транзакций, а также установление механизма быстрого реагирования (таких как заморозка прав, экстренная связь, планы отката риск-менеджмента), чтобы сократить временные окна потерь средств.
• Создание механизма положительного стимулирования, поощряющего сотрудничество белых хакеров: через систему вознаграждений за уязвимости и механизмы переговоров с серыми хакерами, направлять потенциальных атакующих на ответственное сообщение о проблемах безопасности, что способствует повышению общего уровня безопасности проекта.

Зот

Обзор проекта: Zoth является платформой повторного залога RWA на базе Ethereum, соединяющей традиционные финансы и экосистему DeFi через токенизацию активов. Пользователи могут заложить соответствующие требованиям активы реального мира, получать доход на блокчейне и участвовать в механизме повторного залога для повышения эффективности капитала. Согласно данным с официального сайта, общий заблокированный объем Zoth составляет 35,4 миллиона долларов, зарегистрированные активы достигли 250 миллионов долларов, что демонстрирует создание прочного моста между блокчейном и традиционными финансами, а также продолжающееся расширение экосистемы повторного залога через сотрудничество с несколькими эмитентами RWA и ликвидными протоколами.

Сводка событий: Zoth столкнулся с двумя серьезными инцидентами безопасности в марте 2025 года, общие убытки составили около 8,575 миллиона долларов.

• 6 марта платформа Zoth столкнулась с проблемой проектирования логики залога, что позволило хакерам использовать нечеткий механизм оценки залоговой стоимости в контракте, чтобы извлекать избыточные средства без необходимости соответствовать фактическому залоговому коэффициенту. Нападающие многократно вызывали соответствующие функции, обходя логику проверки залога, и успешно извлекли активы на сумму около 285 тысяч долларов США. Этот инцидент выявил недостатки в оценке активов, установлении залогового коэффициента и проверке граничных условий внутри контракта.
• 21 марта произошел еще один высокопреднамеренный инцидент атаки на Zoth. Злоумышленник, после нескольких неудачных попыток, успешно получил контроль над учетной записью развертывателя и, используя вредоносный прокси-контракт, обновил, заменив основную логику протокола на вредоносную версию, позволяющую выполнять несанкционированные действия. Злоумышленник воспользовался этим, чтобы извлечь заложенные в изолированном хранилище активы USD0++, всего было украдено около 8,45 миллиона USD0++, которые были быстро обменены на DAI и затем преобразованы в 4,223 ETH, что составляет примерно 8,29 миллиона долларов.

После инцидента команда Zoth немедленно активировала механизм экстренного реагирования, совместно с блокчейн-безопасной организацией Crystal Blockchain BV начала расследование и сотрудничала с партнерами-эмитентами активов для защиты около 73% TVL платформы. Кроме того, команда Zoth опубликовала открытое заявление, установив программу вознаграждений за уязвимости в размере 500 000 долларов для поощрения эффективных подсказок, помогающих вернуть средства.

По состоянию на 31 марта средства злоумышленника еще не были существенно перемещены, в основном сосредоточены на двух адресах кошельков (всего 4,223 ETH). Команда развернула систему мониторинга на блокчейне и тесно сотрудничает с глобальными аналитическими компаниями по блокчейну, платформами Web2 и правоохранительными органами, чтобы полностью отслеживать следы злоумышленника на блокчейне. Zoth пообещал опубликовать полный отчет по итогам расследования, а также одновременно представить планы по возврату и восстановлению активов платформы.

Рефлексия после инцидента:

• Укрепление управления основными правами и обновлениями контрактов: данное событие произошло из-за компрометации закрытого ключа развертывателя и выполнения злонамеренного обновления, что выявило серьезные уязвимости в контроле прав и процессе обновления. Рекомендуется в будущем использовать многофакторную аутентификацию, многоуровневый доступ, механизмы белого списка для обновлений и установить процессы управления на цепочке или аудита безопасности для обеспечения безопасности обновлений.
• Создание системы实时 мониторинга и автоматизированного управления рисками: Быстрый вывод средств указывает на недостаточную своевременность мониторинга, в будущем следует развернуть мониторинг транзакций на блокчейне, систему предупреждения об атаках и механизм заморозки активов, чтобы сократить временные окна для обнаружения атак и реагирования.
• Оптимизация логики управления активами и контроля доступа: изоляция хранилища, вызываемого в случае отсутствия ограничений на вызов механизма управления, рекомендуется ввести динамические ограничения на вызов, обнаружение аномального поведения и механизмы проверки пути, чтобы гарантировать, что ключевые активные контракты имеют многоуровневую защиту рисков.
• Институциональный механизм реагирования на чрезвычайные ситуации и межкомандного сотрудничества: команда быстро связывается с безопасными учреждениями и правоохранительными органами после инцидента, публикует ход событий и устанавливает вознаграждение, эффективно стабилизируя ситуацию. Рекомендуется стандартизировать процесс реагирования на чрезвычайные ситуации, охватывающий пять этапов: мониторинг, уведомление, замораживание, расследование и коммуникация, и продолжать поддерживать открытую и прозрачную информацию для внешней аудитории.

Итог

В марте 2025 года несколько DeFi-проектов подверглись атакам с использованием уязвимостей безопасности, в результате которых было потеряно десятки миллионов долларов активов. Два典型ных инцидента безопасности в области DeFi — атака на уязвимость смарт-контракта 1inch и атака на повышение привилегий Zoth — еще раз подчеркивают системные риски, такие как наследие устаревших контрактов, централизованное управление ключевыми правами, недостатки в механизмах обновления и недостаточная реакция на риски. Несмотря на то, что 1inch быстро провел переговоры с хакером и вернул большую часть средств после инцидента, Zoth также быстро инициировал межкомандное сотрудничество и сохранил 73% активов, однако оба инцидента показывают, что у текущих некоторых DeFi-проектов все еще есть возможности для дальнейшей оптимизации в области механизма управления, управления правами, аудита безопасности и мониторинга в реальном времени.

Эти несколько инцидентов с безопасностью также подчеркивают важность создания механизмов мониторинга на цепочке, автоматизированных процессов заморозки и системы стимулов для серых хакеров. Если проекты DeFi хотят получить устойчивое доверие пользователей в будущем, они должны рассматривать безопасность как ключевой элемент проектирования системы с самого начала, а не как меры по устранению последствий. Gate.io напоминает пользователям о необходимости следить за динамикой безопасности и усиливать защиту своих личных активов.
Справочные материалы:

1. Slowmist,[https://hacked.slowmist.io/]###https://hacked.slowmist.io/(
2. 1дюйм,[https://1inch.io/])https://1inch.io/(
3. X,[https://x.com/SlowMist_Team/status/1897958914114879656])https://x.com/SlowMist_Team/status/1897958914114879656(
4. Декурити,[https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9])https://blog.decurity. io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9(
5. X,[https://x.com/PeckShieldAlert/status/1906894141193376021])https://x.com/PeckShieldAlert/status/1906894141193376021(
6. Зот,[https://zoth.io/])https://zoth.io/(
7. X,[https://x.com/zothdotio/status/1906343855181701342])https://x.com/zothdotio/status/1906343855181701342(
8. X,[https://x.com/CyversAlerts/status/1903021017460600885])https://x.com/CyversAlerts/status/1903021017460600885(
9. X,[https://x.com/PeckShieldAlert/status/1903040662829768994])https://x.com/PeckShieldAlert/status/1903040662829768994(

Нажмите [链接])https://www.gate.io/learn/category/research(, чтобы перейти немедленно

Отказ от ответственности Инвестиции на рынке криптовалют сопряжены с высоким риском. Рекомендуется пользователям проводить независимое исследование и полностью понимать природу приобретаемых активов и продуктов перед принятием каких-либо инвестиционных решений. Gate.io не несет ответственности за любые потери или ущерб, возникшие в результате таких инвестиционных решений.