Laporan keamanan industri Web3 terbaru dari Gate Research, berdasarkan data dari SlowMist, mencatat delapan insiden keamanan pada Maret 2025, yang mengakibatkan kerugian total sekitar $14,43 juta. Insiden-insiden tersebut bervariasi dalam jenis, dengan hack akun dan kerentanan kontrak pintar menyumbang sebagian besar, yaitu 62,5% dari total. Laporan tersebut memberikan analisis rinci tentang peristiwa-peristiwa kunci, termasuk serangan kerentanan kontrak pintar pada 1inch dan insiden Zoth yang melibatkan kecacatan kontrak dan kebocoran kunci pribadi. Pelanggaran akun dan kerentanan kontrak telah diidentifikasi sebagai ancaman keamanan utama untuk bulan tersebut, menekankan kebutuhan terus-menerus untuk meningkatkan langkah-langkah keamanan di seluruh industri.

Abstrak

• Pada Maret 2025, industri Web3 mengalami delapan insiden keamanan, yang mengakibatkan kerugian total sebesar $14.43 juta—penurunan signifikan dibandingkan dengan bulan sebelumnya.
• Sebagian besar insiden tersebut melibatkan metode serangan seperti kerentanan kontrak pintar dan pelanggaran akun, yang bersama-sama menyumbang 62.5% dari semua kasus keamanan di industri kripto.
• Insiden besar bulan ini termasuk eksploitasi kerentanan kontrak pintar yang menargetkan 1inch (mengakibatkan kerugian $5 juta, di mana 90% telah pulih) dan dua serangan terpisah pada Zoth—satu melibatkan kerentanan kontrak dan yang lainnya adalah kebocoran kunci pribadi—yang menyebabkan kerugian gabungan sebesar $8.575 juta.
• Terkait distribusi blockchain, hanya satu proyek mengalami kerugian pada rantai publik BSC bulan ini.

Ikhtisar Kejadian Keamanan

Menurut data dari SlowMist, delapan insiden keamanan tercatat antara 1 Maret dan 30 Maret 2025, menyebabkan kerugian total sekitar $14.43 juta. Serangan tersebut terutama melibatkan kerentanan kontrak pintar, kompromi akun, dan metode eksploitasi lainnya. Dibandingkan dengan Februari 2025, kerugian total turun 99% secara bulanan. Cacat kontrak pintar dan akun yang diretas adalah penyebab utama dari serangan-serangan ini, dengan lima insiden seperti itu menyumbang 62.5%. Akun resmi X (dulu Twitter) tetap menjadi target utama bagi para peretas.

Bulan ini, satu-satunya insiden keamanan di blockchain publik terjadi di BSC, di mana Four.meme mengalami kerugian lebih dari $180,000. Hal ini menyoroti perlunya peningkatan terus-menerus dalam pemeriksaan kontrak pintar, mekanisme kontrol risiko, dan pemantauan on-chain dalam ekosistem BSC.

Beberapa proyek blockchain mengalami serangan keamanan besar-besaran bulan ini, yang mengakibatkan kerugian keuangan yang signifikan. Salah satu yang paling mencolok adalah platform staking RWA Zoth, yang mengalami dua serangan terpisah: satu melibatkan hack yang menyebabkan kerugian $8,29 juta, dan yang lainnya akibat kerentanan kontrak pintar yang menyebabkan kerugian $285.000. Selain itu, agregator DEX 1inch kehilangan $5 juta akibat kerentanan kontrak.

Insiden Keamanan Utama pada Bulan Maret

Menurut pengungkapan resmi, lebih dari $13.5 juta kerugian dilaporkan dari pelanggaran keamanan kunci utama pada bulan Maret. Ancaman utama adalah kebocoran kunci pribadi dan kerentanan kontrak pintar.

• Penyerang mengeksploitasi kerentanan dalam kontrak Fusion v1 yang sudah ketinggalan zaman, mencuri sekitar $5 juta dalam USDC dan wETH. Dana tersebut diambil dari resolver, bukan langsung dari dompet pengguna akhir.
• Platform staking RWA Zoth mengalami dua insiden keamanan pada bulan Maret: pada 6 Maret, kecacatan perhitungan jaminan mengakibatkan kerugian sekitar $285,000; pada 21 Maret, seorang peretas mendapatkan hak admin dan mengupgrade kontrak ke versi berbahaya, mencuri sekitar $8.29 juta senilai USD0++, yang akhirnya dikonversi menjadi 4.223 ETH.

1inci

Gambaran Proyek: 1inch adalah agregator pertukaran terdesentralisasi (DEX) yang menggunakan algoritma pintar untuk mengidentifikasi rute perdagangan optimal di berbagai DEX, meningkatkan efisiensi perdagangan dan penggunaan modal. Menurut situs web resminya, 1inch telah mengintegrasikan lebih dari 3,2 juta sumber likuiditas, memfasilitasi lebih dari $596 miliar dalam volume perdagangan kumulatif, dan melayani lebih dari 21,7 juta pengguna melalui lebih dari 134 juta transaksi.

Ikhtisar Kejadian：

Pada 5 Maret, kerentanan dalam kontrak pintar warisan Fusion v1 menyebabkan kerugian sekitar $5 juta. Penyerang menciptakan jalur transaksi jahat untuk mengeksploitasi kontrak yang sudah ketinggalan zaman dan menguras dana—khususnya USDC dan wETH—dari resolver daripada pengguna individu. Investigasi pasca-insiden mengungkapkan bahwa kerentanan hanya ada dalam kontrak pintar yang sudah ketinggalan zaman. Dengan menciptakan jalur transaksi tertentu, penyerang memanggil fungsi yang mentransfer dana dari resolver. Versi saat ini dari perjanjian tidak mengandung kerentanan ini.

Menurut analisis pasca-insiden oleh Decurity, tim 1inch memasuki negosiasi dengan penyerang. Saat ini, sekitar 90% dana yang dicuri telah pulih, sementara sisanya tetap dipegang oleh penyerang sebagai bug bounty. Serangan ini terutama memengaruhi resolver lama yang belum diperbarui. Tidak ada aset pengguna langsung yang terpengaruh, dan tidak ada aliran keluar signifikan dari dompet pengguna yang terdeteksi. Insiden ini menyoroti kebutuhan kritis untuk menonaktifkan dan memperbarui kontrak-kontrak usang secara tepat waktu.[3][4][5]

Rekomendasi Pasca-Insiden:

• Perkuat Manajemen Kontrak Warisan dan Kontrol Akses: Kontrak pintar yang sudah tidak digunakan (seperti Fusion v1) harus sepenuhnya dinonaktifkan, dengan izin dibekukan atau dipaksa bermigrasi, untuk menghilangkan potensi serangan yang ditinggalkan untuk kompatibilitas mundur. Logika kontrol akses juga harus ditingkatkan dengan memverifikasi sumber panggilan dan memberlakukan pemeriksaan izin yang lebih ketat untuk mencegah eksploitasi melalui jalur panggilan yang tidak disengaja.
• Meningkatkan Proses Audit dan Cakupan: Modul-modul periferal yang terkait dengan kontrak inti (misalnya, penyelesaian) harus dimasukkan dalam cakupan audit formal, dengan batas risiko yang jelas untuk setiap komponen. Setiap pembaruan struktural, peningkatan bahasa, atau perubahan antarmuka harus memicu proses pengulangan audit, dan penilaian risiko historis untuk versi-versi sebelumnya harus dipertahankan.
• Bangun Sistem Pemantauan dan Tanggapan Darurat Real-Time: Sistem pemantauan keamanan on-chain harus diterapkan untuk mendeteksi perilaku transaksi abnormal real-time. Mekanisme tanggapan cepat—seperti pembekuan izin, saluran komunikasi darurat, dan strategi rollback—harus ada untuk meminimalkan jendela waktu kerugian aset.
• Menetapkan Mekanisme Insentif untuk Mendorong Kolaborasi Topi-Putih: Program bug bounty dan perjanjian pengungkapan yang bertanggung jawab dengan hacker topi-abu-abu dapat memberikan insentif bagi pelaporan kerentanan secara etis, berkontribusi pada postur keamanan proyek secara keseluruhan yang lebih kuat.

Zoth

Gambaran Proyek: Zoth adalah platform restaking RWA berbasis Ethereum yang menghubungkan keuangan tradisional dan ekosistem DeFi melalui tokenisasi aset. Ini memungkinkan pengguna untuk melakukan staking aset dunia nyata yang sesuai untuk mendapatkan hasil on-chain dan berpartisipasi dalam mekanisme restaking untuk efisiensi modal yang lebih besar. Menurut situs web resminya, Zoth memiliki total nilai terkunci (TVL) sebesar $35,4 juta dan lebih dari $250 juta dalam aset terdaftar—menunjukkan kehadiran kuatnya di perpotongan sistem keuangan on-chain dan tradisional. Platform ini terus memperluas ekosistem restakingnya melalui kemitraan dengan penerbit RWA dan protokol likuiditas.

Ikhtisar Kejadian:

Pada Maret 2025, Zoth mengalami dua pelanggaran keamanan besar, yang mengakibatkan kerugian total sekitar $8.575 juta.

• 6 Maret: Sebuah kekurangan desain dalam logika jaminan Zoth memungkinkan penyerang untuk mengeksploitasi perhitungan yang tidak akurat dalam proses penilaian jaminan kontrak. Penyerang melewati pemeriksaan validasi jaminan dengan terus-menerus memanggil fungsi-fungsi tertentu dan mengekstraksi dana berlebih sekitar $285,000. Insiden ini mengungkapkan kelemahan dalam cara kontrak menangani penilaian aset, ambang batas rasio jaminan, dan kondisi batas.
• 21 Maret: Zoth diserang lagi dalam serangan yang sangat terkoordinasi dan dipremeditasi. Setelah beberapa percobaan gagal, penyerang berhasil mengendalikan akun pengimplementasi dan menggunakannya untuk mengupgrade protokol melalui kontrak proxy ke versi berbahaya. Upgrade ini memberi penyerang kontrol penuh atas logika kontrak, memungkinkan mereka menguras brankas terisolasi yang berisi token USD0++. Penyerang mencuri sekitar 845 juta USD0++, yang kemudian segera ditukar dengan DAI dan dikonversi menjadi 4.223 ETH—setara dengan sekitar $8,29 juta.

Setelah kejadian tersebut, tim Zoth segera mengaktifkan protokol tanggap daruratnya dan bermitra dengan perusahaan keamanan blockchain Crystal Blockchain BV untuk melakukan penyelidikan. Mereka juga bekerja sama dengan mitra penerbit aset untuk mengamankan sekitar 73% TVL platform. Dalam pernyataan publik, Zoth mengumumkan program hadiah bug sebesar $500,000 untuk mendorong informasi yang dapat membantu memulihkan dana yang dicuri.

Per 31 Maret, aset yang dicuri masih sebagian besar tidak dipindahkan dan terkonsentrasi di dua alamat dompet (mencakup total 4.223 ETH). Tim telah menerapkan sistem pemantauan on-chain dan berkolaborasi dengan perusahaan analitik blockchain global, platform Web2, dan lembaga penegak hukum global untuk melacak pergerakan penyerang. Zoth telah berkomitmen untuk merilis laporan otopsi lengkap dan rencana pemulihan dan membangun kembali begitu penyelidikan selesai.[7][8][9]

Rekomendasi Pasca-Insiden:

• Menguatkan Inti Keistimewaan dan Memperbarui Manajemen: Insiden ini berasal dari kompromi kunci privat pengembang, yang memungkinkan upgrade kontrak jahat—mengungkapkan kelemahan kritis dalam kontrol keistimewaan dan proses upgrade. Ke depannya, disarankan untuk mengadopsi dompet multi-tanda tangan, menerapkan izin akses berlapis, mendirikan mekanisme daftar putih upgrade, dan menegakkan prosedur audit keamanan atau tata kelola on-chain untuk memastikan keselamatan upgrade.
• Menerapkan Pemantauan Real-Time dan Kontrol Risiko Otomatis: Aliran dana yang cepat menunjukkan kurangnya deteksi tepat waktu. Platform harus menerapkan pemantauan transaksi real-time, sistem peringatan serangan, dan mekanisme pembekuan aset on-chain untuk mengurangi jendela respons dalam serangan mendatang.
• Perbaiki Penyimpanan Aset dan Logika Kontrol Akses: Penarikan sukses dari brankas terisolasi menunjukkan kontrol akses yang kurang memadai dalam mekanisme penyimpanan. Untuk memastikan kontrak aset kunci dilindungi oleh beberapa lapisan kontrol risiko, pembatasan panggilan dinamis, deteksi perilaku abnormal, dan validasi jalur transaksi harus diperkenalkan.
• Institusionalisasi Tanggapan Darurat dan Kolaborasi lintas Tim: Tim merespons dengan cepat dengan berkoordinasi dengan perusahaan keamanan dan penegak hukum, menerbitkan pembaruan kemajuan, dan meluncurkan program bounty—mengstabilkan situasi secara efektif. Untuk kejadian di masa depan, protokol tanggapan darurat standar harus diadopsi, mencakup lima tahap kunci: pemantauan, peringatan, pembekuan, investigasi, dan komunikasi, dengan komitmen terhadap transparansi yang berkelanjutan.

Ringkasan

Pada Maret 2025, beberapa proyek DeFi mengalami pelanggaran keamanan, yang mengakibatkan kerugian puluhan juta dolar. Dua insiden mencolok—eksploitasi kerentanan kontrak pintar pada 1inch dan serangan eskalasi hak istimewa pada Zoth—sekali lagi menyoroti risiko sistemik seperti paparan kontrak lama, hak admin terpusat, mekanisme upgrade yang cacat, dan kerangka kerja respons risiko yang tidak memadai. Sementara 1inch berhasil memulihkan sebagian besar dana yang dicuri melalui negosiasi cepat dengan penyerang, dan Zoth bertindak cepat untuk memulai kolaborasi lintas tim dan melindungi 73% asetnya, kedua kasus tersebut mengungkapkan area-area yang perlu diperbaiki dalam struktur tata kelola, kontrol akses, audit keamanan, dan pemantauan real-time di banyak protokol DeFi.

Insiden-insiden ini menegaskan pentingnya penerapan sistem pemantauan on-chain, mekanisme pembekuan aset otomatis, dan struktur insentif untuk pengungkapan gray-hat. Agar proyek DeFi dapat menjaga kepercayaan pengguna jangka panjang, keamanan harus diperlakukan sebagai elemen desain dasar dari awal—bukan sebagai pemikiran setelahnya. Gate.io mengingatkan pengguna untuk tetap terinformasi tentang perkembangan keamanan dan melindungi aset pribadi mereka secara aktif.


Referensi:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Keamanan,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Penelitian Gate
Gate Research adalah platform riset blockchain dan cryptocurrency yang komprehensif yang menyajikan konten mendalam. Ini termasuk analisis teknis, wawasan topik panas, ulasan pasar, riset industri, ramalan tren, dan analisis kebijakan makroekonomi.

Klik di siniuntuk mengunjungi sekarang

Penyangkalan
Investasi di pasar kripto melibatkan risiko tinggi, dan disarankan pengguna melakukan riset independen dan memahami sepenuhnya sifat aset dan produk yang mereka beli sebelum membuat keputusan investasi apapun. Gate.io tidak bertanggung jawab atas kerugian atau kerusakan yang disebabkan oleh keputusan investasi tersebut.