Le dernier rapport sur la sécurité de l'industrie Web3 de Gate Research, basé sur les données de SlowMist, a enregistré huit incidents de sécurité en mars 2025, entraînant des pertes totales d'environ 14,43 millions de dollars. Les incidents variaient en type, avec des piratages de compte et des vulnérabilités de contrats intelligents représentant la majorité, soit 62,5 % du total. Le rapport fournit une analyse détaillée des événements clés, notamment l'attaque de vulnérabilité de contrat intelligent sur 1inch et l'incident Zoth impliquant des failles de contrat et des fuites de clés privées. Les violations de compte et les vulnérabilités de contrat ont été identifiées comme les principales menaces pour la sécurité du mois, soulignant la nécessité continue de mesures de sécurité renforcées dans l'ensemble de l'industrie.

Abstrait

• En mars 2025, l'industrie Web3 a connu huit incidents de sécurité, entraînant des pertes totales de 14,43 millions de dollars, soit une baisse significative par rapport au mois précédent.
• La plupart de ces incidents impliquaient des méthodes d'attaque telles que les vulnérabilités des contrats intelligents et les violations de compte, qui représentaient ensemble 62,5 % de tous les cas de sécurité dans l'industrie des crypto-monnaies.
• Les principaux incidents ce mois-ci ont inclus une exploitation de vulnérabilité de contrat intelligent ciblant 1inch (résultant en 5 millions de pertes, dont 90% ont été récupérés) et deux attaques distinctes sur Zoth - l'une impliquant une vulnérabilité de contrat et l'autre une fuite de clé privée - entraînant une perte combinée de 8,575 millions de dollars.
• En ce qui concerne la distribution de la blockchain, seul un projet a subi des pertes sur la chaîne publique BSC ce mois-ci.

Aperçu de l'incident de sécurité

Selon les données de SlowMist, huit incidents de sécurité ont été enregistrés entre le 1er et le 30 mars 2025, entraînant des pertes totales d'environ 14,43 millions de dollars. Les attaques impliquaient principalement des vulnérabilités de contrats intelligents, des compromissions de comptes et d'autres méthodes d'exploitation. Comparé à février 2025, la perte totale a chuté de 99% d'un mois sur l'autre. Les failles de contrats intelligents et les comptes piratés étaient les principales causes de ces attaques, cinq incidents de ce type représentant 62,5%. Les comptes officiels X (anciennement Twitter) restent des cibles privilégiées pour les pirates informatiques.

Ce mois-ci, le seul incident de sécurité sur une blockchain publique s'est produit sur BSC, où Four.meme a subi des pertes de plus de 180 000 $. Cela souligne la nécessité d'améliorations continues dans l'audit des contrats intelligents, les mécanismes de contrôle des risques et la surveillance on-chain au sein de l'écosystème BSC.

Plusieurs projets blockchain ont été confrontés à de graves violations de sécurité ce mois-ci, entraînant des dommages financiers importants. Parmi les plus notables, on trouve la plateforme de mise en jeu RWA Zoth, qui a subi deux attaques distinctes : l'une impliquant un piratage ayant entraîné des pertes de 8,29 millions de dollars, et l'autre due à une vulnérabilité du contrat intelligent qui a causé des dommages de 285 000 dollars. De plus, l'agrégateur DEX 1inch a perdu 5 millions de dollars en raison d'une vulnérabilité du contrat.

Incidents majeurs de sécurité en mars

Selon les divulgations officielles, plus de 13,5 millions de dollars de pertes ont été signalées suite à des violations majeures de la sécurité en mars. Les principales menaces étaient les fuites de clés privées et les vulnérabilités des contrats intelligents.

• Les attaquants ont exploité une vulnérabilité dans le contrat Fusion v1 obsolète, volant environ 5 millions de dollars USDC et wETH. Les fonds ont été prélevés sur des résolveurs, pas directement sur les portefeuilles des utilisateurs finaux.
• La plateforme de staking RWA Zoth a subi deux incidents de sécurité en mars : le 6 mars, une faille de calcul du collatéral a entraîné une perte d'environ 285 000 $ ; le 21 mars, un pirate informatique a obtenu des privilèges d'administrateur et a mis à niveau le contrat vers une version malveillante, volant environ 8,29 millions de dollars en USD0++, qui ont finalement été convertis en 4 223 ETH.

1inch

Aperçu du projet : 1inch est un agrégateur d'échanges décentralisés (DEX) qui utilise des algorithmes intelligents pour identifier les routes de trading optimales à travers plusieurs DEX, améliorant ainsi l'efficacité du trading et l'utilisation du capital. Selon son site officiel, 1inch a intégré plus de 3,2 millions de sources de liquidité, facilité plus de 596 milliards de dollars de volume de transactions cumulé, et a servi plus de 21,7 millions d'utilisateurs à travers plus de 134 millions de transactions.

Aperçu de l'incident：

Le 5 mars, une vulnérabilité dans le contrat intelligent legacy Fusion v1 a entraîné une perte d'environ 5 millions de dollars. L'attaquant a créé un chemin de transaction malveillant pour exploiter le contrat obsolète et vider les fonds, notamment de l'USDC et du wETH, des résolveurs plutôt que des utilisateurs individuels. Les enquêtes post-incident ont révélé que la vulnérabilité ne se trouvait que dans les anciens contrats intelligents. En créant un chemin de transaction spécifique, l'attaquant a invoqué des fonctions qui transféraient des fonds du résolveur. La version actuelle de l'accord ne contient pas cette vulnérabilité.

Selon une analyse post-incident réalisée par Decurity, l'équipe de 1inch est entrée en négociations avec l'attaquant. Actuellement, environ 90% des fonds volés ont été récupérés, le reste étant conservé par l'attaquant comme prime de bug. L'attaque a principalement affecté les résolveurs hérités qui n'avaient pas été mis à niveau. Aucun actif utilisateur direct n'a été impacté, et aucune sortie significative des portefeuilles utilisateurs n'a été détectée. Cet incident a mis en évidence le besoin crucial de rendre obsolètes et de mettre à niveau les contrats obsolètes en temps opportun.

Recommandations post-incident :

• Renforcer la gestion des contrats hérités et les contrôles d'accès : Les contrats intelligents obsolètes (comme Fusion v1) doivent être entièrement mis hors service, avec des autorisations gelées ou migrées de force, afin d'éliminer les surfaces d'attaque potentielles laissées pour la compatibilité ascendante. La logique de contrôle d'accès doit également être améliorée en vérifiant les sources d'appel et en imposant des vérifications de permission plus strictes pour prévenir l'exploitation à travers des chemins d'appel non intentionnels.
• Améliorer les processus et la couverture d'audit : les modules périphériques liés aux contrats de base (par ex. les résolveurs) doivent être inclus dans les champs d'audit formels, avec des limites de risque clairement définies pour chaque composant. Toute refonte structurelle, mise à niveau du langage ou modification de l'interface doit déclencher des processus de ré-audit, et les évaluations des risques historiques pour les versions héritées doivent être conservées.
• Construire des systèmes de surveillance en temps réel et de réponse aux urgences : Des systèmes de surveillance de sécurité on-chain doivent être déployés pour détecter en temps réel les comportements de transaction anormaux. Un mécanisme de réponse rapide, tel que le gel des autorisations, des canaux de communication d'urgence et des stratégies de retour en arrière, doit être mis en place pour minimiser la fenêtre de temps de perte d'actifs.
• Établir des mécanismes d'incitation pour encourager la collaboration des chapeaux blancs : les programmes de primes de bogues et les accords de divulgation responsable avec les pirates informatiques de chapeau gris peuvent encourager la déclaration éthique des vulnérabilités, contribuant à une posture de sécurité globale plus forte pour le projet.

Zoth

Aperçu du projet : Zoth est une plateforme de restaking RWA basée sur Ethereum qui relie la finance traditionnelle et l'écosystème DeFi grâce à la tokenisation d'actifs. Il permet aux utilisateurs de miser des actifs réels conformes pour gagner des rendements on-chain et de participer à des mécanismes de restaking pour une plus grande efficacité du capital. Selon son site officiel, Zoth a une valeur totale verrouillée (TVL) de 35,4 millions de dollars et plus de 250 millions de dollars d'actifs enregistrés, démontrant sa forte présence à l'intersection des systèmes financiers on-chain et traditionnels. La plateforme continue d'élargir son écosystème de restaking grâce à des partenariats avec des émetteurs RWA et des protocoles de liquidité.

Aperçu de l'incident:

En mars 2025, Zoth a connu deux importantes violations de sécurité, entraînant des pertes totales d'environ 8,575 millions de dollars.

• Le 6 mars : Un défaut de conception dans la logique de collatéral de Zoth a permis aux attaquants d'exploiter des calculs imprécis dans le processus d'évaluation du collatéral du contrat. L'attaquant a contourné les vérifications de validation du collatéral en invoquant à plusieurs reprises des fonctions spécifiques et en extrayant environ 285 000 $ de fonds excédentaires. Cet incident a révélé des faiblesses dans la manière dont le contrat gérait l'évaluation des actifs, les seuils de ratio de collatéral et les conditions limites.
• 21 mars : Zoth a été de nouveau ciblé lors d'une attaque hautement coordonnée et préméditée. Après plusieurs tentatives infructueuses, l'attaquant a réussi à prendre le contrôle du compte de déploiement et l'a utilisé pour mettre à niveau le protocole via un contrat mandataire vers une version malveillante. Cette mise à niveau a donné à l'attaquant un contrôle total sur la logique du contrat, lui permettant de vider des coffres isolés contenant des jetons USD0++. L'attaquant a volé environ 845 millions de jetons USD0++, qu'il a rapidement échangés contre du DAI et convertis en 4 223 ETH, ce qui équivaut à environ 8,29 millions de dollars.

Suite aux incidents, l'équipe de Zoth a immédiatement activé son protocole de réponse d'urgence et s'est associée à la société de sécurité blockchain Crystal Blockchain BV pour mener une enquête. Ils ont également travaillé en étroite collaboration avec les partenaires émetteurs d'actifs pour sécuriser environ 73 % de la TVL de la plateforme. Dans un communiqué public, Zoth a annoncé un programme de prime de bug de 500 000 $ pour inciter à fournir des informations pouvant aider à récupérer les fonds volés.

Au 31 mars, les actifs volés restent largement inchangés et sont concentrés dans deux adresses de portefeuille (détenant un total de 4 223 ETH). L'équipe a déployé des systèmes de surveillance on-chain et collabore avec des sociétés d'analyse de la blockchain mondiales, des plateformes Web2 et des agences de l'application de la loi pour retracer les mouvements de l'attaquant. Zoth s'est engagé à publier un rapport complet post-mortem et un plan de récupération et de reconstruction une fois l'enquête terminée.[7][8][9]

Recommandations post-incident :

• Renforcer le privilège de base et mettre à niveau la gestion : Cet incident est survenu en compromettant la clé privée du déployeur, ce qui a permis une mise à niveau malveillante du contrat, révélant des failles critiques dans le contrôle des privilèges et le processus de mise à niveau. À l'avenir, il est recommandé d'adopter des portefeuilles multi-signatures, de mettre en place des autorisations d'accès en couches, d'établir des mécanismes de liste blanche de mise à niveau et de renforcer les procédures de gouvernance on-chain ou d'audit de sécurité pour garantir la sécurité de la mise à niveau.
• Mettre en œuvre la surveillance en temps réel et les contrôles automatisés des risques : L'écoulement rapide des fonds a indiqué un manque de détection en temps opportun. La plateforme devrait déployer une surveillance des transactions en temps réel, des systèmes d'alerte d'attaque et des mécanismes de gel d'actifs on-chain pour réduire la fenêtre de réponse lors des attaques futures.
• Améliorer la garde d'actifs et la logique de contrôle d'accès: Le retrait réussi des coffres isolés suggère un contrôle d'accès insuffisant au sein du mécanisme de garde. Pour garantir que les contrats clés d'actifs sont protégés par plusieurs couches de contrôles de risques, des restrictions d'appel dynamiques, la détection de comportements anormaux et la validation des chemins de transaction doivent être introduites.
• Institutionnaliser la réponse d'urgence et la collaboration entre équipes : L'équipe a réagi rapidement en coordonnant avec des entreprises de sécurité et les forces de l'ordre, en publiant des mises à jour sur les progrès et en lançant un programme de primes, stabilisant ainsi efficacement la situation. Pour les incidents futurs, un protocole standardisé de réponse d'urgence devrait être adopté, couvrant cinq étapes clés : surveillance, alerte, gel, enquête et communication, avec un engagement en faveur de la transparence continue.

Résumé

En mars 2025, plusieurs projets DeFi ont subi des violations de sécurité, entraînant des pertes de dizaines de millions de dollars. Deux incidents remarquables - l'exploitation de la vulnérabilité du contrat intelligent sur 1inch et l'attaque d'escalade de privilèges sur Zoth - ont de nouveau mis en lumière des risques systémiques tels que l'exposition aux contrats hérités, les privilèges administratifs centralisés, les mécanismes de mise à niveau défectueux et les cadres de réponse aux risques insuffisants. Alors que 1inch a réussi à récupérer la plupart des fonds volés grâce à des négociations rapides avec l'attaquant, et que Zoth a agi rapidement pour initier une collaboration inter-équipes et protéger 73 % de ses actifs, les deux cas ont révélé des domaines à améliorer dans les structures de gouvernance, le contrôle d'accès, l'audit de sécurité et la surveillance en temps réel dans de nombreux protocoles DeFi.

Ces incidents soulignent l'importance de la mise en place de systèmes de surveillance on-chain, de mécanismes de gel d'actifs automatisés et de structures d'incitation pour les divulgations grey-hat. Pour que les projets DeFi maintiennent la confiance à long terme des utilisateurs, la sécurité doit être traitée comme un élément de conception fondamental dès le départ, et non comme une réflexion après coup. Gate.io rappelle aux utilisateurs de se tenir informés des développements en matière de sécurité et de protéger activement leurs actifs personnels.


Références：

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-corruption-des-donnees-dappel-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Recherche Gate
La recherche Gate est une plateforme de recherche complète sur la blockchain et les cryptomonnaies qui fournit un contenu approfondi. Cela comprend l'analyse technique, les informations sur les sujets chauds, les revues de marché, la recherche industrielle, les prévisions de tendances et l'analyse des politiques macroéconomiques.

Cliquez icivisiter maintenant

Clause de non-responsabilité
Investir dans le marché des cryptomonnaies comporte des risques élevés, et il est recommandé aux utilisateurs de mener des recherches indépendantes et de comprendre pleinement la nature des actifs et des produits qu'ils achètent avant de prendre toute décision d'investissement. Gate.io n'est pas responsable des pertes ou dommages causés par de telles décisions d'investissement.