Gate Research: สรุปเหตุการณ์ด้านความปลอดภัยสำหรับเดือนมีนาคม 2025
รายงานความปลอดภัยของอุตสาหกรรม Web3 ล่าสุดของ Gate Research ตามข้อมูลจาก SlowMist บันทึกเหตุการณ์ด้านความปลอดภัยแปดครั้งในเดือนมีนาคม 2025 ส่งผลให้ขาดทุนรวมประมาณ 14.43 ล้านดอลลาร์ เหตุการณ์แตกต่างกันไปในประเภทโดยมีการแฮ็กบัญชีและช่องโหว่ของสัญญาอัจฉริยะคิดเป็นส่วนใหญ่ 62.5% ของทั้งหมด รายงานนี้ให้การวิเคราะห์โดยละเอียดเกี่ยวกับเหตุการณ์สําคัญ รวมถึงการโจมตีช่องโหว่ของสัญญาอัจฉริยะบน 1inch และเหตุการณ์ Zoth ที่เกี่ยวข้องกับข้อบกพร่องของสัญญาและการรั่วไหลของคีย์ส่วนตัว การละเมิดบัญชีและช่องโหว่ของสัญญาได้รับการระบุว่าเป็นภัยคุกคามด้านความปลอดภัยหลักสําหรับเดือนนี้โดยเน้นย้ําถึงความต้องการอย่างต่อเนื่องสําหรับมาตรการรักษาความปลอดภัยที่เพิ่มขึ้นทั่วทั้งอุตสาหกรรม
บทคัดย่อ
- ในเดือนมีนาคม พ.ศ. 2568 อุตสาหกรรม Web3 ประสบการณ์เหตุการณ์ด้านความปลอดภัยแปดครั้ง โดยมีความสูญเสียรวมทั้งสิ้น 14.43 ล้านเหรียญ—มีการลดลงอย่างมีนัยสำหรับเดือนก่อนหน้า
- ส่วนใหญ่ของเหตุการณ์เหล่านี้เกี่ยวข้องกับวิธีการโจมตีเช่น ช่องโหว่ของสมาร์ทคอนแทรคและการละเมิดบัญชี ซึ่งรวมกันเป็น 62.5% ของกรณีความปลอดภัยทั้งหมดในอุตสาหกรรมสกุลเงินดิจิทัล
- เหตุการณ์สำคัญในเดือนนี้รวมถึงการถูกโจมตีช่องโหว่สมาร์ทคอนแทรคโดยเน้นที่ 1inch (ทำให้เสียเงิน 5 ล้านเหรียญ โดยมีการกู้คืน 90%) และการโจมตีสองครั้งต่อเรียงบน Zoth—หนึ่งเกี่ยวข้องกับช่องโหว่สมาร์ทคอนแทรคและอีกอันหนึ่งเกี่ยวข้องกับการรั่วไหลกุญแจส่วนตัว—ทำให้เสียเงินรวมกัน 8.575 ล้านเหรียญ
- เกี่ยวกับการกระจายบล็อกเชนเพียงโปรเจกต์เดียวที่เสียความเสียหายบนโซนสาธารณะ BSC เดือนนี้
ภาพรวมเหตุการณ์ความปลอดภัย
ตามข้อมูลจาก SlowMist มีเหตุการณ์ด้านความปลอดภัย 8 ครั้ง บันทึกไว้ระหว่างวันที่ 1 มีนาคม ถึง 30 มีนาคม 2025 โดยมีความเสียหายรวมโดยรวมประมาณ 14.43 ล้านเหรียญ โดยการโจมตีเกี่ยวข้องกับช่องโหว่ของสมาร์ทคอนแทรคบางเรื่อง การบังคับบัญชี และวิธีการเอาชนะอื่น ๆ ต่อในเดือนกุมภาพันธ์ 2025 การสูญเสียรวมลดลง 99% เดือนต่อเดือน ข้อบกพร่องของสมาร์ทคอนแทรคและบัญชีที่ถูก hack เป็นสาเหตุหลักของการโจมตีเหล่านี้ โดยมีเหตุการณ์ 5 ครั้งที่เช่นนั้น บัญชีเฉพาะทางด้าน X (ก่อนหน้านี้คือ Twitter) ยังคงเป็นเป้าหมายหลักของผู้แฮกเกอร์
เดือนนี้เกิดเหตุการณ์ด้านความปลอดภัยเพียงเหตุการณ์เดียวบนบล็อกเชนสาธารณะที่เกิดขึ้นบน BSC โดยที่ Four.meme ได้เสียหายมากกว่า 180,000 ดอลลาร์ สำคัญย้ำความจำเป็นต่อการปรับปรุงอย่างต่อเนื่องในการตรวจสอบสัญญาอัจฉริยะ กลไกควบคุมความเสี่ยง และการตรวจสอบบนเชนของ BSC.
โครงการบล็อกเชนหลายรายต้องเผชิญกับการละเมิดความปลอดภัยร้ายแรงในเดือนนี้ ทำให้เกิดความเสียหายทางการเงินที่สำคัญ ในนั้นมี Zoth แพลตฟอร์ม RWA staking ที่เป็นที่รู้จักมากที่สุด ประสบการโจมตีสองครั้งแยกกัน: หนึ่งเกี่ยวข้อกับการโจมตีที่ทำให้เกิดความสูญเสียมูลค่า 8.29 ล้านเหรียญ และอีกอันเกี่ยวกับช่องโหว่ของสมาร์ทคอนแทรคที่ทำให้เกิดความเสียหาย 285,000 เหรียญ นอกจากนี้ 1inch DEX aggregator สูญเสีย 5 ล้านเหรียญเนื่องจากช่องโหว่ของสัญญา
เหตุการณ์ความปลอดภัยสำคัญในเดือนมีนาคม
ตามการเปิดเผยทางการ มียอดขาดทุนมากกว่า 13.5 ล้านเหรียญเรื่องรั่วไหลของความปลอดภัยสำคัญที่รายงานเข้ามาในเดือนมีนาคม ความเสี่ยงหลักคือการรั่วไหลของกุญแจส่วนตัวและความเสี่ยงของสมาร์ทคอนแทรค
- ผู้โจมตีใช้ช่องโหว่ในสัญญา Fusion v1 เวอร์ชันเก่า โจมตีการป้องกันรอบรู้ โดยที่ได้รับเงินประมาณ 5 ล้านดอลลาร์สหรัฐและ wETH ที่เหลือ ทุกเงินถูกเอาไปจากตัวแก้ปัญหา ไม่ใช่โดยตรงจากกระเป๋าเงินของผู้ใช้ท้ายที่
- แพลตฟอร์มการเสนอขาย RWA Zoth ประสบภัยความปลอดภัยสองครั้งในเดือนมีนาคม: เมื่อ 6 มีนาคม ข้อบกพร่องในการคำนวณหลักทรัพย์ 导致 大约 285,000 美元 的 损失; ในวันที่ 21 มีนาคม แฮ็กเกอร์ได้รับสิทธิ์ของผู้ดูแลระบบและอัปเกรดสัญญาเป็นรุ่นที่ไม่ดี ขโมย ประมาณ 8.29 ล้าน เหรียญสหรัฐ 0++, ที่สุดท้ายก็ถูกแปลงเป็น 4,223 ETH
1inch
ภาพรวมโครงการ: 1inch เป็นตัวรวมตลาดแบบไม่มีกลาง (DEX) ที่ใช้อัลกอริทึมอัจฉริยะเพื่อระบุเส้นทางการซื้อขายที่เหมาะที่สุดใน DEXs หลายรายการ ปรับปรุงประสิทธิภาพการซื้อขายและการใช้ทุน ตามเว็บไซต์อย่างเป็นทางการ 1inch ได้รวมกว่า 3.2 ล้านแหล่งน้ำมันลิควิดิตี้ สนับสนุนมากกว่า 596 พันล้านดอลลาร์ในปริมาณการซื้อขายรวมและให้บริการกว่า 21.7 ล้านผู้ใช้ผ่านมากกว่า 134 ล้านธุรกรรม
ภาพรวมเหตุการณ์:
ในวันที่ 5 มีนาคมช่องโหว่ในสัญญาเชื่อมต่ออัจฉริยะเวอร์ชันเก่า Fusion v1 ทำให้เสียประมาณ 5 ล้านเหรียญ ผู้โจมตีสร้างเส้นทางธุรกรรมที่เลวร้ายเพื่อใช้ช่องโหว่ของสัญญาที่ล้าสมัยและระบายเงิน—โดยเฉพาะ USDC และ wETH—จากผู้ตัดสินแทนจากผู้ใช้รายบุคคล การสอบสวนหลังเหตุการณ์เผยว่าช่องโหว่มีอยู่เฉพาะในสัญญาอัจฉริยะที่ล้าสมัย โดยการสร้างเส้นทางธุรกรรมที่เฉพาะเจาะจงผู้โจมตีเรียกใช้ฟังก์ชันที่โอนเงินจากผู้ตัดสิน รุ่นปัจจุบันของข้อตกลงไม่มีช่องโหว่นี้
ตามการวิเคราะห์หลังเหตุของ Decurity ทีม 1inch เข้าสู่ขบวนการเจรจากับผู้โจมตี ปัจจุบันมีการกู้คืนเงินประมาณ 90% ของเงินที่ถูกขโมย โดยส่วนที่เหลือถูกเก็บไว้โดยผู้โจมตีเป็นรางวัลค่าของบั๊ก การโจมตีมีผลกระทบกับ legacy resolvers ที่ยังไม่ได้อัปเกรด ไม่มีส่วนของสินทรัพย์ของผู้ใช้โดนกระทบโดยตรง และไม่มีการสังเกตเห็นถึงการไหลออกที่สำคัญจากกระเป๋าเงินของผู้ใช้ การเหตุการณ์นี้เน้นความจำเป็นที่สุดในการยกเลิกและอัปเกรดสัญญาเก่าๆ ในเวลาที่เหมาะสม
คำแนะนำหลังเหตุการณ์:
- เสริมสร้างการจัดการสัญญาเดิมและการควบคุมการเข้าถึง: สัญญาอัจฉริยะที่เลิกใช้แล้ว (เช่น Fusion v1) ควรถูกปลดประจําการอย่างสมบูรณ์โดยมีสิทธิ์ถูกแช่แข็งหรือบังคับให้ย้ายเพื่อกําจัดพื้นผิวการโจมตีที่อาจเกิดขึ้นเพื่อความเข้ากันได้แบบย้อนหลัง ตรรกะการควบคุมการเข้าถึงควรได้รับการปรับปรุงโดยการตรวจสอบแหล่งที่มาของการโทรและบังคับใช้การตรวจสอบสิทธิ์ที่เข้มงวดขึ้นเพื่อป้องกันการแสวงหาประโยชน์ผ่านเส้นทางการโทรที่ไม่ได้ตั้งใจ
- ปรับปรุงกระบวนการตรวจสอบและความครอบคลุม: โมดูลรอบรอบที่เกี่ยวข้องกับสัญญาหลัก (เช่น resolvers) ควรถูกรวมอยู่ในขอบเขตการตรวจสอบทางกฎหมายโดยมีขอบเขตความเสี่ยงที่กำหนดอย่างชัดเจนสำหรับแต่ละส่วนประกอบ การใด ๆ ที่เกี่ยวกับการโครงสร้างใหม่ การอัพเกรดภาษา หรือการเปลี่ยนแปลงอินเตอร์เฟซควรกระตุ้นกระบวนการตรวจสอบใหม่ ๆ และการประเมินความเสี่ยงของเวอร์ชันเก่าที่เกี่ยวกับประวัติควรถูกเก็บไว้
- สร้างระบบตรวจสอบและตอบสนองเหตุการณ์ฉุกเฉินแบบเรียลไทม์: ควรนำระบบตรวจสอบความปลอดภัย On-chain มาใช้เพื่อตรวจจับพฤติกรรมการทำธุรกรรมที่ผิดปกติแบบเรียลไทม์ ควรมีกลไกการตอบสนองที่รวดเร็วเช่น การแช่แข็งสิทธิ, ช่องทางการติดต่อฉุกเฉิน และกลยุทธ์การย้อนกลับ ให้มีการเตรียมไว้เพื่อลดขนาดของช่องเวลาสำหรับการสูญเสียสินทรัพย์
- สร้างกลไกส่งเสริมเพื่อกระตุ้นความร่วมมือของ White-Hat: โปรแกรมรางวัลช่องโหว่และข้อตกลงการเปิดเผยที่รับผิดชอบกับฮากเกอร์ชุมสีเทา สามารถส่งเสริมให้มีการรายงานช่องโหว่ที่สุจริต ซึ่งมีส่วนร่วมในการเสริมสถานการณ์ความปลอดภัยโดยรวมสำหรับโครงการที่แข็งแกร่งขึ้น
Zoth
ภาพรวมโครงการ: Zoth เป็นแพลตฟอร์ม RWA restaking ที่ใช้ Ethereum ซึ่งเชื่อมโยงการเงินแบบดั้งเดิมและระบบนิเวศ DeFi ผ่านโทเค็นสินทรัพย์ ช่วยให้ผู้ใช้สามารถเดิมพันสินทรัพย์ในโลกแห่งความเป็นจริงเพื่อรับผลตอบแทนแบบ on-chain และมีส่วนร่วมในกลไกการ restaking เพื่อประสิทธิภาพเงินทุนที่มากขึ้น ตามเว็บไซต์อย่างเป็นทางการ Zoth มีมูลค่ารวมที่ถูกล็อค (TVL) ที่ 35.4 ล้านดอลลาร์และสินทรัพย์ที่ลงทะเบียนมากกว่า 250 ล้านดอลลาร์ซึ่งแสดงให้เห็นถึงสถานะที่แข็งแกร่งที่จุดตัดของระบบการเงินแบบออนเชนและแบบดั้งเดิม แพลตฟอร์มนี้ยังคงขยายระบบนิเวศใหม่ผ่านการเป็นพันธมิตรกับผู้ออก RWA และโปรโตคอลสภาพคล่อง [6]
ภาพรวมเหตุการณ์:
ในเดือนมีนาคม 2025 โซธประสบภัยความมั่นคงสองครั้ง ทำให้เสียเปรียบเฉลี่ยประมาณ 8.575 ล้านดอลลาร์
- 6 มีนาคม: ข้อบกพร่องในตรรกะการหลักของ Zoth อนุญาตให้ผู้โจมตีใช้ประโยชน์จากการคำนวณที่ไม่แม่นยำในกระบวนการประเมินมูลค่าหลักทรัพย์ของสัญญา ผู้โจมตีได้หลีกเลี่ยงการตรวจสอบความถูกต้องของหลักทรัพย์โดยการเรียกใช้ฟังก์ชันที่เฉพาะเจาะจงอย่างต่อเนื่องและสกัดเงินเกินจำนวนประมาณ 285,000 ดอลลาร์ ขึ้นไป การเกิดเหตุนี้เปิดเผยจุดอ่อนในวิธีที่สัญญาจัดการกับการประเมินมูลค่าสินทรัพย์ อัตราส่วนหลักทรัพย์ และเงื่อนไขขอบเขต
- 21 มีนาคม: Zoth ถูกเป้าหมายอีกครั้งในการโจมตีที่มีการประสานงานและวางแผนล่วงหน้าอย่างมาก หลังจากพยายามล้มเหลวหลายครั้ง ผู้โจมตีสามารถควบคุมบัญชีตัวทดลองได้สำเร็จและใช้ในการอัปเกรดโปรโตคอลผ่านสัญญาพร็อกซีเป็นเวอร์ชันที่อันตราย การอัปเกรดนี้ทำให้ผู้โจมตีได้รับควบคุมเต็มร้อยเกี่ยวกับตรรกะสัญญา ทำให้เขาสามารถระบายเงินจากห้องทรัพย์ที่ระลอกที่มี USD0++ โจรกรรม โจมตีขโมยเงินประมาณ 845 ล้าน USD0++ ซึ่งเขาแลกเปลี่ยนไปเป็น DAI และแปลงเป็น 4,223 ETH—เทียบเท่ากับประมาณ 8.29 ล้านเหรียญ美ดอลลาร์
หลังจากเหตุการณ์ ทีม Zoth ได้เร่งเปิดใช้โปรโตคอลการตอบสนองฉุกเฉินและเป็นพันธมิตรกับบริษัทความปลอดภัยบล็อคเชน Crystal Blockchain BV เพื่อดำเนินการสอบสวน พวกเขายังทำงานร่วมกับพันธมิตรผู้ออกสินทรัพย์เพื่อรักษาประมาณ 73% ของ TVL ของแพลตฟอร์ม ในคำแถลงของสาธารณะ Zoth ประกาศโปรแกรมรางวัลช่องโหว่ขนาด 500,000 ดอลลาร์เพื่อสรรหาข้อมูลที่สามารถช่วยกู้คืนเงินที่ถูกขโมย
ณวันที่ 31 มีนาคม ทรัพย์สินที่ถูกขโมยยังคงอยู่ไม่ได้เคลื่อนที่มาก และมีการสะสมอยู่ในที่สองที่อยู่ของกระเป๋าเงิน (ถือรวม 4,223 ETH) ทีมได้ใช้ระบบตรวจสอบบนเชื่อมต่อและร่วมมือกับบริษัทวิเคราะห์บล็อกเชนระดับโลก เพลตฟอร์ม Web2 และหน่วยงานการอำนวยการที่เกี่ยวข้องเพื่อติดตามการเคลื่อนไหวของผู้โจมตี Zoth ได้มุ่งมั่นที่จะปล่อยรายงาน postmortem เต็มรูปแบบและแผนการกู้คืนและสร้างใหม่เมื่อการสืบสวนเสร็จสมบูรณ์
คำแนะนำหลังเหตุการณ์:
- เสริมสร้างสิทธิพิเศษหลักและอัปเกรดการจัดการ: อุบัติการณ์นี้มาจากการขัดข้องกุญแจส่วนตัวของผู้ใช้งานที่จะใช้การอัปเกรดสัญญาที่เป็นอันตราย - โดยเปิดเผยจุดอ่อนที่สำคัญในการควบคุมสิทธิและกระบวนการอัปเกรด ในอนาคต แนะนำให้ใช้กระเป๋าเงินหลายลายเซ็นเจอร์ ปรับใช้การอนุญาตการเข้าถึงแบบชั้นเชิง สร้างกลไกการอนุญาตอัปเกรดใหม่ และบังคับขั้นตอนการตรวจสอบการบริหารหรือการตรวจสอบความปลอดภัยในเชื่อมโยงเพื่อให้มั่นใจในความปลอดภัยของการอัปเกรด
- ปรับใช้การตรวจสอบและควบคุมความเสี่ยงโดยอัตโนมัติเพื่อระบุถอนเงินทันที ที่บ่งชี้ถึงความขาดการตรวจจับที่เร็วเกินไป แพลตฟอร์มควรใช้การตรวจสอบธุรกรรมแบบเรียลไทม์ ระบบแจ้งเตือนการโจมตี และกลไกการแช่แข็งสินทรัพย์บนเชนเพื่อลดหน้าต่างการตอบสนองในการโจมตีในอนาคต
- ปรับปรุง Asset Custody และ Access Control Logic: การถอนเงินสำเร็จจากที่เก็บเงินที่แยกออกมานั้นบ่งชี้ถึงการควบคุมการเข้าถึงที่ไม่เพียงพอภายในกลไกการถือครอง เพื่อให้แน่ใจว่าสัญญาสิทธิ์ที่สำคัญถูกป้องกันด้วยชั้นควบคุมความเสี่ยงหลายชั้น การจำกัดการเรียกใช้งานแบบไดนามิก การตรวจจับพฤติกรรมที่ผิดปกติ และการตรวจสอบเส้นทางธุรกรรมควรถูกนำเข้าใช้
- Institutionalize Emergency Response and Cross-Team Collaboration: ทีมตอบสนองอย่างรวดเร็วโดยการ coord จัดการกับบริษัทรักษาความปลอดภัยและตำรวจ ออกอัปเดตความคืบหน้า และเปิดโปรแกรมค่าตอบแทน - ทำให้สถานการณ์มีความมั่นคงอย่างมีประสิทธิภาพ สำหรับเหตุการณ์ในอนาคต ควรมีการนำโปรโตคอลการตอบสนองฉุกเฉินที่มีมาตรฐาน ครอบคลุมห้าขั้นตอนหลัก: การติดตาม การเตือน การแช่แข็ง การสอบสวน และการสื่อสาร โดยมีการทำให้โปร่งใสอย่างต่อเนื่อง
สรุป
ในเดือนมีนาคม 2025 โครงการ DeFi หลายโครงการประสบกับการละเมิดความปลอดภัยส่งผลให้ขาดทุนหลายสิบล้านดอลลาร์ สองเหตุการณ์ที่โดดเด่น - ช่องโหว่ของสัญญาอัจฉริยะใช้ประโยชน์จาก 1inch และการโจมตีการเพิ่มสิทธิ์ใน Zoth - เน้นความเสี่ยงเชิงระบบอีกครั้งเช่นการเปิดเผยสัญญาเดิมสิทธิ์ผู้ดูแลระบบแบบรวมศูนย์กลไกการอัปเกรดที่มีข้อบกพร่องและกรอบการตอบสนองความเสี่ยงไม่เพียงพอ ในขณะที่ 1inch สามารถกู้คืนเงินที่ถูกขโมยส่วนใหญ่ผ่านการเจรจาอย่างรวดเร็วกับผู้โจมตีและ Zoth ดําเนินการอย่างรวดเร็วเพื่อเริ่มการทํางานร่วมกันข้ามทีมและปกป้องทรัพย์สิน 73% ทั้งสองกรณีเปิดเผยพื้นที่สําหรับการปรับปรุงโครงสร้างการกํากับดูแลการควบคุมการเข้าถึงการตรวจสอบความปลอดภัยและการตรวจสอบแบบเรียลไทม์ในโปรโตคอล DeFi จํานวนมาก
เหตุการณ์เหล่านี้ย้ำถึงความสำคัญของการใช้ระบบตรวจสอบ on-chain, กลไกการแช่แข็งสินทรัพย์โดยอัตโนมัติ และโครงสร้างสะสมสำหรับการเปิดเผยที่มีความเทา สำหรับโครงการ DeFi เพื่อรักษาความไว้วางใจของผู้ใช้ในระยะยาว ความปลอดภัยจะต้องถูกจัดการเป็นองค์ประกอบในการออกแบบตั้งแต่แรกแล้ว—ไม่ใช่เพียงเพื่อการคิดเพิ่มเติม Gate.io ขอเรียนให้ผู้ใช้ทราบเกี่ยวกับความคืบหน้าด้านความปลอดภัยและปกป้องสินทรัพย์ส่วนบุคคลของพวกเขาอย่างมีเรื่อง
อ้างอิง:
- Slowmist,https://hacked.slowmist.io/
- 1inch,https://1inch.io/
- X,https://x.com/SlowMist_Team/status/1897958914114879656
- Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
- X,https://x.com/PeckShieldAlert/status/1906894141193376021
- Zoth,https://zoth.io/
- X,https://x.com/zothdotio/status/1906343855181701342
- X,https://x.com/CyversAlerts/status/1903021017460600885
- X,https://x.com/PeckShieldAlert/status/1903040662829768994
Gate Research
Gate Research เป็นแพลตฟอร์มวิจัยบล็อกเชนและสกุลเงินดิจิทัลอย่างครอบคลุมที่ให้เนื้อหาลึกลับ ซึ่งรวมถึงการวิเคราะห์ทางเทคนิค ความคิดเห็นเกี่ยวกับเรื่องร้อน บทวิจารณ์ตลาด การวิจัยในอุตสาหกรรม การพยากรณ์แนวโน้ม และการวิเคราะห์นโยบายเศรษฐกิจและการเงิน
คลิกที่นี่เยี่ยมชมตอนนี้
คำปฏิเสธ
การลงทุนในตลาดสกุลเงินดิจิทัลเป็นเรื่องที่มีความเสี่ยงสูง และแนะนำให้ผู้ใช้ดำเนินการวิจัยอิสระและเข้าใจลักษณะของสินทรัพย์และผลิตภัณฑ์ที่พวกเขากำลังซื้อก่อนที่จะตัดสินใจลงทุน Gate.io ไม่รับผิดชอบต่อความสูญเสียหรือความเสียหายที่เกิดขึ้นจากการตัดสินใจดังกล่าว
Artigos relacionados
ความจริงเกี่ยวกับเหรียญ Pi: มันอาจเป็นบิทคอยน์ต่อไปหรือไม่?
Gate Research: เหตุการณ์ Web3 และการพัฒนาเทคโนโลยีสกุลเงินดิจิทัล (22-27 กุมภาพันธ์ 2025)
Gate Research: Web3 Industry Policy and Macro Report (22-27 ก.พ. 2568)
Gate Research: สรุปเหตุการณ์ด้านความปลอดภัยสำหรับเดือนมีนาคม 2025
รายงานความปลอดภัยของอุตสาหกรรม Web3 ล่าสุดของ Gate Research ตามข้อมูลจาก SlowMist บันทึกเหตุการณ์ด้านความปลอดภัยแปดครั้งในเดือนมีนาคม 2025 ส่งผลให้ขาดทุนรวมประมาณ 14.43 ล้านดอลลาร์ เหตุการณ์แตกต่างกันไปในประเภทโดยมีการแฮ็กบัญชีและช่องโหว่ของสัญญาอัจฉริยะคิดเป็นส่วนใหญ่ 62.5% ของทั้งหมด รายงานนี้ให้การวิเคราะห์โดยละเอียดเกี่ยวกับเหตุการณ์สําคัญ รวมถึงการโจมตีช่องโหว่ของสัญญาอัจฉริยะบน 1inch และเหตุการณ์ Zoth ที่เกี่ยวข้องกับข้อบกพร่องของสัญญาและการรั่วไหลของคีย์ส่วนตัว การละเมิดบัญชีและช่องโหว่ของสัญญาได้รับการระบุว่าเป็นภัยคุกคามด้านความปลอดภัยหลักสําหรับเดือนนี้โดยเน้นย้ําถึงความต้องการอย่างต่อเนื่องสําหรับมาตรการรักษาความปลอดภัยที่เพิ่มขึ้นทั่วทั้งอุตสาหกรรม
บทคัดย่อ
- ในเดือนมีนาคม พ.ศ. 2568 อุตสาหกรรม Web3 ประสบการณ์เหตุการณ์ด้านความปลอดภัยแปดครั้ง โดยมีความสูญเสียรวมทั้งสิ้น 14.43 ล้านเหรียญ—มีการลดลงอย่างมีนัยสำหรับเดือนก่อนหน้า
- ส่วนใหญ่ของเหตุการณ์เหล่านี้เกี่ยวข้องกับวิธีการโจมตีเช่น ช่องโหว่ของสมาร์ทคอนแทรคและการละเมิดบัญชี ซึ่งรวมกันเป็น 62.5% ของกรณีความปลอดภัยทั้งหมดในอุตสาหกรรมสกุลเงินดิจิทัล
- เหตุการณ์สำคัญในเดือนนี้รวมถึงการถูกโจมตีช่องโหว่สมาร์ทคอนแทรคโดยเน้นที่ 1inch (ทำให้เสียเงิน 5 ล้านเหรียญ โดยมีการกู้คืน 90%) และการโจมตีสองครั้งต่อเรียงบน Zoth—หนึ่งเกี่ยวข้องกับช่องโหว่สมาร์ทคอนแทรคและอีกอันหนึ่งเกี่ยวข้องกับการรั่วไหลกุญแจส่วนตัว—ทำให้เสียเงินรวมกัน 8.575 ล้านเหรียญ
- เกี่ยวกับการกระจายบล็อกเชนเพียงโปรเจกต์เดียวที่เสียความเสียหายบนโซนสาธารณะ BSC เดือนนี้
ภาพรวมเหตุการณ์ความปลอดภัย
ตามข้อมูลจาก SlowMist มีเหตุการณ์ด้านความปลอดภัย 8 ครั้ง บันทึกไว้ระหว่างวันที่ 1 มีนาคม ถึง 30 มีนาคม 2025 โดยมีความเสียหายรวมโดยรวมประมาณ 14.43 ล้านเหรียญ โดยการโจมตีเกี่ยวข้องกับช่องโหว่ของสมาร์ทคอนแทรคบางเรื่อง การบังคับบัญชี และวิธีการเอาชนะอื่น ๆ ต่อในเดือนกุมภาพันธ์ 2025 การสูญเสียรวมลดลง 99% เดือนต่อเดือน ข้อบกพร่องของสมาร์ทคอนแทรคและบัญชีที่ถูก hack เป็นสาเหตุหลักของการโจมตีเหล่านี้ โดยมีเหตุการณ์ 5 ครั้งที่เช่นนั้น บัญชีเฉพาะทางด้าน X (ก่อนหน้านี้คือ Twitter) ยังคงเป็นเป้าหมายหลักของผู้แฮกเกอร์
เดือนนี้เกิดเหตุการณ์ด้านความปลอดภัยเพียงเหตุการณ์เดียวบนบล็อกเชนสาธารณะที่เกิดขึ้นบน BSC โดยที่ Four.meme ได้เสียหายมากกว่า 180,000 ดอลลาร์ สำคัญย้ำความจำเป็นต่อการปรับปรุงอย่างต่อเนื่องในการตรวจสอบสัญญาอัจฉริยะ กลไกควบคุมความเสี่ยง และการตรวจสอบบนเชนของ BSC.
โครงการบล็อกเชนหลายรายต้องเผชิญกับการละเมิดความปลอดภัยร้ายแรงในเดือนนี้ ทำให้เกิดความเสียหายทางการเงินที่สำคัญ ในนั้นมี Zoth แพลตฟอร์ม RWA staking ที่เป็นที่รู้จักมากที่สุด ประสบการโจมตีสองครั้งแยกกัน: หนึ่งเกี่ยวข้อกับการโจมตีที่ทำให้เกิดความสูญเสียมูลค่า 8.29 ล้านเหรียญ และอีกอันเกี่ยวกับช่องโหว่ของสมาร์ทคอนแทรคที่ทำให้เกิดความเสียหาย 285,000 เหรียญ นอกจากนี้ 1inch DEX aggregator สูญเสีย 5 ล้านเหรียญเนื่องจากช่องโหว่ของสัญญา
เหตุการณ์ความปลอดภัยสำคัญในเดือนมีนาคม
ตามการเปิดเผยทางการ มียอดขาดทุนมากกว่า 13.5 ล้านเหรียญเรื่องรั่วไหลของความปลอดภัยสำคัญที่รายงานเข้ามาในเดือนมีนาคม ความเสี่ยงหลักคือการรั่วไหลของกุญแจส่วนตัวและความเสี่ยงของสมาร์ทคอนแทรค
- ผู้โจมตีใช้ช่องโหว่ในสัญญา Fusion v1 เวอร์ชันเก่า โจมตีการป้องกันรอบรู้ โดยที่ได้รับเงินประมาณ 5 ล้านดอลลาร์สหรัฐและ wETH ที่เหลือ ทุกเงินถูกเอาไปจากตัวแก้ปัญหา ไม่ใช่โดยตรงจากกระเป๋าเงินของผู้ใช้ท้ายที่
- แพลตฟอร์มการเสนอขาย RWA Zoth ประสบภัยความปลอดภัยสองครั้งในเดือนมีนาคม: เมื่อ 6 มีนาคม ข้อบกพร่องในการคำนวณหลักทรัพย์ 导致 大约 285,000 美元 的 损失; ในวันที่ 21 มีนาคม แฮ็กเกอร์ได้รับสิทธิ์ของผู้ดูแลระบบและอัปเกรดสัญญาเป็นรุ่นที่ไม่ดี ขโมย ประมาณ 8.29 ล้าน เหรียญสหรัฐ 0++, ที่สุดท้ายก็ถูกแปลงเป็น 4,223 ETH
1inch
ภาพรวมโครงการ: 1inch เป็นตัวรวมตลาดแบบไม่มีกลาง (DEX) ที่ใช้อัลกอริทึมอัจฉริยะเพื่อระบุเส้นทางการซื้อขายที่เหมาะที่สุดใน DEXs หลายรายการ ปรับปรุงประสิทธิภาพการซื้อขายและการใช้ทุน ตามเว็บไซต์อย่างเป็นทางการ 1inch ได้รวมกว่า 3.2 ล้านแหล่งน้ำมันลิควิดิตี้ สนับสนุนมากกว่า 596 พันล้านดอลลาร์ในปริมาณการซื้อขายรวมและให้บริการกว่า 21.7 ล้านผู้ใช้ผ่านมากกว่า 134 ล้านธุรกรรม
ภาพรวมเหตุการณ์:
ในวันที่ 5 มีนาคมช่องโหว่ในสัญญาเชื่อมต่ออัจฉริยะเวอร์ชันเก่า Fusion v1 ทำให้เสียประมาณ 5 ล้านเหรียญ ผู้โจมตีสร้างเส้นทางธุรกรรมที่เลวร้ายเพื่อใช้ช่องโหว่ของสัญญาที่ล้าสมัยและระบายเงิน—โดยเฉพาะ USDC และ wETH—จากผู้ตัดสินแทนจากผู้ใช้รายบุคคล การสอบสวนหลังเหตุการณ์เผยว่าช่องโหว่มีอยู่เฉพาะในสัญญาอัจฉริยะที่ล้าสมัย โดยการสร้างเส้นทางธุรกรรมที่เฉพาะเจาะจงผู้โจมตีเรียกใช้ฟังก์ชันที่โอนเงินจากผู้ตัดสิน รุ่นปัจจุบันของข้อตกลงไม่มีช่องโหว่นี้
ตามการวิเคราะห์หลังเหตุของ Decurity ทีม 1inch เข้าสู่ขบวนการเจรจากับผู้โจมตี ปัจจุบันมีการกู้คืนเงินประมาณ 90% ของเงินที่ถูกขโมย โดยส่วนที่เหลือถูกเก็บไว้โดยผู้โจมตีเป็นรางวัลค่าของบั๊ก การโจมตีมีผลกระทบกับ legacy resolvers ที่ยังไม่ได้อัปเกรด ไม่มีส่วนของสินทรัพย์ของผู้ใช้โดนกระทบโดยตรง และไม่มีการสังเกตเห็นถึงการไหลออกที่สำคัญจากกระเป๋าเงินของผู้ใช้ การเหตุการณ์นี้เน้นความจำเป็นที่สุดในการยกเลิกและอัปเกรดสัญญาเก่าๆ ในเวลาที่เหมาะสม
คำแนะนำหลังเหตุการณ์:
- เสริมสร้างการจัดการสัญญาเดิมและการควบคุมการเข้าถึง: สัญญาอัจฉริยะที่เลิกใช้แล้ว (เช่น Fusion v1) ควรถูกปลดประจําการอย่างสมบูรณ์โดยมีสิทธิ์ถูกแช่แข็งหรือบังคับให้ย้ายเพื่อกําจัดพื้นผิวการโจมตีที่อาจเกิดขึ้นเพื่อความเข้ากันได้แบบย้อนหลัง ตรรกะการควบคุมการเข้าถึงควรได้รับการปรับปรุงโดยการตรวจสอบแหล่งที่มาของการโทรและบังคับใช้การตรวจสอบสิทธิ์ที่เข้มงวดขึ้นเพื่อป้องกันการแสวงหาประโยชน์ผ่านเส้นทางการโทรที่ไม่ได้ตั้งใจ
- ปรับปรุงกระบวนการตรวจสอบและความครอบคลุม: โมดูลรอบรอบที่เกี่ยวข้องกับสัญญาหลัก (เช่น resolvers) ควรถูกรวมอยู่ในขอบเขตการตรวจสอบทางกฎหมายโดยมีขอบเขตความเสี่ยงที่กำหนดอย่างชัดเจนสำหรับแต่ละส่วนประกอบ การใด ๆ ที่เกี่ยวกับการโครงสร้างใหม่ การอัพเกรดภาษา หรือการเปลี่ยนแปลงอินเตอร์เฟซควรกระตุ้นกระบวนการตรวจสอบใหม่ ๆ และการประเมินความเสี่ยงของเวอร์ชันเก่าที่เกี่ยวกับประวัติควรถูกเก็บไว้
- สร้างระบบตรวจสอบและตอบสนองเหตุการณ์ฉุกเฉินแบบเรียลไทม์: ควรนำระบบตรวจสอบความปลอดภัย On-chain มาใช้เพื่อตรวจจับพฤติกรรมการทำธุรกรรมที่ผิดปกติแบบเรียลไทม์ ควรมีกลไกการตอบสนองที่รวดเร็วเช่น การแช่แข็งสิทธิ, ช่องทางการติดต่อฉุกเฉิน และกลยุทธ์การย้อนกลับ ให้มีการเตรียมไว้เพื่อลดขนาดของช่องเวลาสำหรับการสูญเสียสินทรัพย์
- สร้างกลไกส่งเสริมเพื่อกระตุ้นความร่วมมือของ White-Hat: โปรแกรมรางวัลช่องโหว่และข้อตกลงการเปิดเผยที่รับผิดชอบกับฮากเกอร์ชุมสีเทา สามารถส่งเสริมให้มีการรายงานช่องโหว่ที่สุจริต ซึ่งมีส่วนร่วมในการเสริมสถานการณ์ความปลอดภัยโดยรวมสำหรับโครงการที่แข็งแกร่งขึ้น
Zoth
ภาพรวมโครงการ: Zoth เป็นแพลตฟอร์ม RWA restaking ที่ใช้ Ethereum ซึ่งเชื่อมโยงการเงินแบบดั้งเดิมและระบบนิเวศ DeFi ผ่านโทเค็นสินทรัพย์ ช่วยให้ผู้ใช้สามารถเดิมพันสินทรัพย์ในโลกแห่งความเป็นจริงเพื่อรับผลตอบแทนแบบ on-chain และมีส่วนร่วมในกลไกการ restaking เพื่อประสิทธิภาพเงินทุนที่มากขึ้น ตามเว็บไซต์อย่างเป็นทางการ Zoth มีมูลค่ารวมที่ถูกล็อค (TVL) ที่ 35.4 ล้านดอลลาร์และสินทรัพย์ที่ลงทะเบียนมากกว่า 250 ล้านดอลลาร์ซึ่งแสดงให้เห็นถึงสถานะที่แข็งแกร่งที่จุดตัดของระบบการเงินแบบออนเชนและแบบดั้งเดิม แพลตฟอร์มนี้ยังคงขยายระบบนิเวศใหม่ผ่านการเป็นพันธมิตรกับผู้ออก RWA และโปรโตคอลสภาพคล่อง [6]
ภาพรวมเหตุการณ์:
ในเดือนมีนาคม 2025 โซธประสบภัยความมั่นคงสองครั้ง ทำให้เสียเปรียบเฉลี่ยประมาณ 8.575 ล้านดอลลาร์
- 6 มีนาคม: ข้อบกพร่องในตรรกะการหลักของ Zoth อนุญาตให้ผู้โจมตีใช้ประโยชน์จากการคำนวณที่ไม่แม่นยำในกระบวนการประเมินมูลค่าหลักทรัพย์ของสัญญา ผู้โจมตีได้หลีกเลี่ยงการตรวจสอบความถูกต้องของหลักทรัพย์โดยการเรียกใช้ฟังก์ชันที่เฉพาะเจาะจงอย่างต่อเนื่องและสกัดเงินเกินจำนวนประมาณ 285,000 ดอลลาร์ ขึ้นไป การเกิดเหตุนี้เปิดเผยจุดอ่อนในวิธีที่สัญญาจัดการกับการประเมินมูลค่าสินทรัพย์ อัตราส่วนหลักทรัพย์ และเงื่อนไขขอบเขต
- 21 มีนาคม: Zoth ถูกเป้าหมายอีกครั้งในการโจมตีที่มีการประสานงานและวางแผนล่วงหน้าอย่างมาก หลังจากพยายามล้มเหลวหลายครั้ง ผู้โจมตีสามารถควบคุมบัญชีตัวทดลองได้สำเร็จและใช้ในการอัปเกรดโปรโตคอลผ่านสัญญาพร็อกซีเป็นเวอร์ชันที่อันตราย การอัปเกรดนี้ทำให้ผู้โจมตีได้รับควบคุมเต็มร้อยเกี่ยวกับตรรกะสัญญา ทำให้เขาสามารถระบายเงินจากห้องทรัพย์ที่ระลอกที่มี USD0++ โจรกรรม โจมตีขโมยเงินประมาณ 845 ล้าน USD0++ ซึ่งเขาแลกเปลี่ยนไปเป็น DAI และแปลงเป็น 4,223 ETH—เทียบเท่ากับประมาณ 8.29 ล้านเหรียญ美ดอลลาร์
หลังจากเหตุการณ์ ทีม Zoth ได้เร่งเปิดใช้โปรโตคอลการตอบสนองฉุกเฉินและเป็นพันธมิตรกับบริษัทความปลอดภัยบล็อคเชน Crystal Blockchain BV เพื่อดำเนินการสอบสวน พวกเขายังทำงานร่วมกับพันธมิตรผู้ออกสินทรัพย์เพื่อรักษาประมาณ 73% ของ TVL ของแพลตฟอร์ม ในคำแถลงของสาธารณะ Zoth ประกาศโปรแกรมรางวัลช่องโหว่ขนาด 500,000 ดอลลาร์เพื่อสรรหาข้อมูลที่สามารถช่วยกู้คืนเงินที่ถูกขโมย
ณวันที่ 31 มีนาคม ทรัพย์สินที่ถูกขโมยยังคงอยู่ไม่ได้เคลื่อนที่มาก และมีการสะสมอยู่ในที่สองที่อยู่ของกระเป๋าเงิน (ถือรวม 4,223 ETH) ทีมได้ใช้ระบบตรวจสอบบนเชื่อมต่อและร่วมมือกับบริษัทวิเคราะห์บล็อกเชนระดับโลก เพลตฟอร์ม Web2 และหน่วยงานการอำนวยการที่เกี่ยวข้องเพื่อติดตามการเคลื่อนไหวของผู้โจมตี Zoth ได้มุ่งมั่นที่จะปล่อยรายงาน postmortem เต็มรูปแบบและแผนการกู้คืนและสร้างใหม่เมื่อการสืบสวนเสร็จสมบูรณ์
คำแนะนำหลังเหตุการณ์:
- เสริมสร้างสิทธิพิเศษหลักและอัปเกรดการจัดการ: อุบัติการณ์นี้มาจากการขัดข้องกุญแจส่วนตัวของผู้ใช้งานที่จะใช้การอัปเกรดสัญญาที่เป็นอันตราย - โดยเปิดเผยจุดอ่อนที่สำคัญในการควบคุมสิทธิและกระบวนการอัปเกรด ในอนาคต แนะนำให้ใช้กระเป๋าเงินหลายลายเซ็นเจอร์ ปรับใช้การอนุญาตการเข้าถึงแบบชั้นเชิง สร้างกลไกการอนุญาตอัปเกรดใหม่ และบังคับขั้นตอนการตรวจสอบการบริหารหรือการตรวจสอบความปลอดภัยในเชื่อมโยงเพื่อให้มั่นใจในความปลอดภัยของการอัปเกรด
- ปรับใช้การตรวจสอบและควบคุมความเสี่ยงโดยอัตโนมัติเพื่อระบุถอนเงินทันที ที่บ่งชี้ถึงความขาดการตรวจจับที่เร็วเกินไป แพลตฟอร์มควรใช้การตรวจสอบธุรกรรมแบบเรียลไทม์ ระบบแจ้งเตือนการโจมตี และกลไกการแช่แข็งสินทรัพย์บนเชนเพื่อลดหน้าต่างการตอบสนองในการโจมตีในอนาคต
- ปรับปรุง Asset Custody และ Access Control Logic: การถอนเงินสำเร็จจากที่เก็บเงินที่แยกออกมานั้นบ่งชี้ถึงการควบคุมการเข้าถึงที่ไม่เพียงพอภายในกลไกการถือครอง เพื่อให้แน่ใจว่าสัญญาสิทธิ์ที่สำคัญถูกป้องกันด้วยชั้นควบคุมความเสี่ยงหลายชั้น การจำกัดการเรียกใช้งานแบบไดนามิก การตรวจจับพฤติกรรมที่ผิดปกติ และการตรวจสอบเส้นทางธุรกรรมควรถูกนำเข้าใช้
- Institutionalize Emergency Response and Cross-Team Collaboration: ทีมตอบสนองอย่างรวดเร็วโดยการ coord จัดการกับบริษัทรักษาความปลอดภัยและตำรวจ ออกอัปเดตความคืบหน้า และเปิดโปรแกรมค่าตอบแทน - ทำให้สถานการณ์มีความมั่นคงอย่างมีประสิทธิภาพ สำหรับเหตุการณ์ในอนาคต ควรมีการนำโปรโตคอลการตอบสนองฉุกเฉินที่มีมาตรฐาน ครอบคลุมห้าขั้นตอนหลัก: การติดตาม การเตือน การแช่แข็ง การสอบสวน และการสื่อสาร โดยมีการทำให้โปร่งใสอย่างต่อเนื่อง
สรุป
ในเดือนมีนาคม 2025 โครงการ DeFi หลายโครงการประสบกับการละเมิดความปลอดภัยส่งผลให้ขาดทุนหลายสิบล้านดอลลาร์ สองเหตุการณ์ที่โดดเด่น - ช่องโหว่ของสัญญาอัจฉริยะใช้ประโยชน์จาก 1inch และการโจมตีการเพิ่มสิทธิ์ใน Zoth - เน้นความเสี่ยงเชิงระบบอีกครั้งเช่นการเปิดเผยสัญญาเดิมสิทธิ์ผู้ดูแลระบบแบบรวมศูนย์กลไกการอัปเกรดที่มีข้อบกพร่องและกรอบการตอบสนองความเสี่ยงไม่เพียงพอ ในขณะที่ 1inch สามารถกู้คืนเงินที่ถูกขโมยส่วนใหญ่ผ่านการเจรจาอย่างรวดเร็วกับผู้โจมตีและ Zoth ดําเนินการอย่างรวดเร็วเพื่อเริ่มการทํางานร่วมกันข้ามทีมและปกป้องทรัพย์สิน 73% ทั้งสองกรณีเปิดเผยพื้นที่สําหรับการปรับปรุงโครงสร้างการกํากับดูแลการควบคุมการเข้าถึงการตรวจสอบความปลอดภัยและการตรวจสอบแบบเรียลไทม์ในโปรโตคอล DeFi จํานวนมาก
เหตุการณ์เหล่านี้ย้ำถึงความสำคัญของการใช้ระบบตรวจสอบ on-chain, กลไกการแช่แข็งสินทรัพย์โดยอัตโนมัติ และโครงสร้างสะสมสำหรับการเปิดเผยที่มีความเทา สำหรับโครงการ DeFi เพื่อรักษาความไว้วางใจของผู้ใช้ในระยะยาว ความปลอดภัยจะต้องถูกจัดการเป็นองค์ประกอบในการออกแบบตั้งแต่แรกแล้ว—ไม่ใช่เพียงเพื่อการคิดเพิ่มเติม Gate.io ขอเรียนให้ผู้ใช้ทราบเกี่ยวกับความคืบหน้าด้านความปลอดภัยและปกป้องสินทรัพย์ส่วนบุคคลของพวกเขาอย่างมีเรื่อง
อ้างอิง:
- Slowmist,https://hacked.slowmist.io/
- 1inch,https://1inch.io/
- X,https://x.com/SlowMist_Team/status/1897958914114879656
- Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
- X,https://x.com/PeckShieldAlert/status/1906894141193376021
- Zoth,https://zoth.io/
- X,https://x.com/zothdotio/status/1906343855181701342
- X,https://x.com/CyversAlerts/status/1903021017460600885
- X,https://x.com/PeckShieldAlert/status/1903040662829768994
Gate Research
Gate Research เป็นแพลตฟอร์มวิจัยบล็อกเชนและสกุลเงินดิจิทัลอย่างครอบคลุมที่ให้เนื้อหาลึกลับ ซึ่งรวมถึงการวิเคราะห์ทางเทคนิค ความคิดเห็นเกี่ยวกับเรื่องร้อน บทวิจารณ์ตลาด การวิจัยในอุตสาหกรรม การพยากรณ์แนวโน้ม และการวิเคราะห์นโยบายเศรษฐกิจและการเงิน
คลิกที่นี่เยี่ยมชมตอนนี้
คำปฏิเสธ
การลงทุนในตลาดสกุลเงินดิจิทัลเป็นเรื่องที่มีความเสี่ยงสูง และแนะนำให้ผู้ใช้ดำเนินการวิจัยอิสระและเข้าใจลักษณะของสินทรัพย์และผลิตภัณฑ์ที่พวกเขากำลังซื้อก่อนที่จะตัดสินใจลงทุน Gate.io ไม่รับผิดชอบต่อความสูญเสียหรือความเสียหายที่เกิดขึ้นจากการตัดสินใจดังกล่าว
Artigos relacionados
ความจริงเกี่ยวกับเหรียญ Pi: มันอาจเป็นบิทคอยน์ต่อไปหรือไม่?
Gate Research: เหตุการณ์ Web3 และการพัฒนาเทคโนโลยีสกุลเงินดิจิทัล (22-27 กุมภาพันธ์ 2025)