Последний отчет по безопасности веб-индустрии Gate Research, основанный на данных от SlowMist, зафиксировал восьмь инцидентов безопасности в марте 2025 года, что привело к общим потерям около 14,43 миллиона долларов. Инциденты различались по типу, с хакерскими атаками на аккаунты и уязвимостями умных контрактов, составляющими большинство, 62,5% от общего числа. Отчет предоставляет подробный анализ ключевых событий, включая атаку на уязвимость умного контракта на 1inch и инцидент Zoth, связанный с недостатками контракта и утечкой закрытого ключа. Нарушения аккаунтов и уязвимости контрактов были выявлены как основные угрозы безопасности за месяц, подчеркивая необходимость постоянных улучшений мер безопасности в отрасли.

Абстрактный

• В марте 2025 года в индустрии Web3 произошло восемь инцидентов безопасности, что привело к общим потерям в размере 14,43 миллиона долларов—значительно меньше, чем в предыдущем месяце.
• Большинство этих инцидентов связаны с методами атак, такими как уязвимости смарт-контрактов и нарушения учетных записей, которые вместе составляют 62.5% всех случаев безопасности в криптоиндустрии.
• Крупные инциденты в этом месяце включали эксплуатацию уязвимости смарт-контракта, нацеленного на 1inch (что привело к потере $5 миллионов, из которых 90% были восстановлены), а также два отдельных нападения на Zoth - одно из них связано с уязвимостью контракта, а другое - утечкой частного ключа, что привело к общим потерям в размере $8.575 миллиона.
• Относительно распределения блокчейна только один проект понес убытки на общедоступной цепи BSC в этом месяце.

Обзор инцидента безопасности

Согласно данным от SlowMist, c 1 марта по 30 марта 2025 года было зафиксировано восемь инцидентов безопасности, что привело к общим потерям в размере приблизительно $14.43 миллиона. Атаки в основном были связаны с уязвимостями умных контрактов, компрометацией учетных записей и другими методами эксплуатации. По сравнению с февралем 2025 года общий ущерб снизился на 99% по месяцам. Ошибки умных контрактов и взломанные учетные записи были основными причинами этих атак, пять из них составляют 62.5%. Официальные аккаунты X (ранее Twitter) остаются ключевыми целями для хакеров.

В этом месяце единственный инцидент безопасности на общедоступном блокчейне произошел на BSC, где Four.meme понес потери свыше $180,000. Это подчеркивает необходимость постоянных улучшений в аудите смарт-контрактов, механизмах контроля рисков и мониторинге on-chain в экосистеме BSC.

В этом месяце несколько блокчейн-проектов столкнулись с серьезными нарушениями безопасности, что привело к значительным финансовым потерям. Одним из самых заметных была платформа стейкинга RWA Zoth, которая столкнулась с двумя отдельными атаками: одна из них была связана с взломом, который привел к убыткам в размере 8,29 миллиона долларов, а другая - с уязвимостью умного контракта, что привело к ущербу в размере 285 000 долларов. Кроме того, агрегатор DEX 1inch потерял 5 миллионов долларов из-за уязвимости контракта.

Крупные инциденты безопасности в марте

Согласно официальным раскрытиям, в марте были зафиксированы убытки свыше $13.5 миллионов из-за ключевых нарушений безопасности. Основные угрозы заключались в утечках частных ключей и уязвимостях смарт-контрактов.

• Атакующие злоумышленники использовали уязвимость в устаревшем контракте Fusion v1, похитив около $5 миллионов в USDC и wETH. Средства были взяты у разрешителей, а не напрямую из кошельков конечных пользователей.
• Платформа стейкинга RWA Zoth столкнулась с двумя инцидентами безопасности в марте: 6 марта из-за ошибки в расчете залога произошел ущерб в размере около 285 000 долларов; 21 марта хакер получил права администратора и обновил контракт до зловредной версии, украв около 8,29 миллионов долларов в криптовалюте USD0++, которая впоследствии была сконвертирована в 4 223 ETH.

1inch

Обзор проекта: 1inch - это децентрализованный агрегатор обменников (DEX), который использует умные алгоритмы для определения оптимальных торговых маршрутов через несколько DEX, улучшая эффективность торговли и использование капитала. Согласно его официальному веб-сайту, 1inch интегрировал более 3,2 миллиона источников ликвидности, облегчил более $596 миллиардов кумулятивного объема сделок и обслужил более 21,7 миллиона пользователей через более чем 134 миллиона транзакций.

Обзор инцидента：

5 марта уязвимость в устаревшем смарт-контракте Fusion v1 привела к потере около $5 миллионов. Злоумышленник создал вредоносный путь транзакции, чтобы использовать устаревший контракт и вывести средства — конкретно USDC и wETH — из резолверов, а не отдельных пользователей. Послеинцидентные расследования показали, что уязвимость существовала только в устаревших смарт-контрактах. Создавая определенный путь транзакции, злоумышленник вызывал функции, которые переводили средства из резолвера. В текущей версии соглашения эта уязвимость отсутствует.

Согласно анализу после инцидента, проведенному Decurity, команда 1inch вступила в переговоры с атакующим. В настоящее время около 90% украденных средств были возвращены, остальное осталось у атакующего в качестве вознаграждения за нахождение уязвимости. Атака в основном затронула устаревшие разрешители, которые не были обновлены. Прямые активы пользователей не пострадали, и значительных оттоков средств с кошельков пользователей не было обнаружено. Этот инцидент подчеркнул критическую необходимость своевременного прекращения использования и обновления устаревших контрактов.

Рекомендации после происшествия:

• Усиление управления наследием контрактов и контроля доступа: Устаревшие смарт-контракты (например, Fusion v1) должны быть полностью выведены из эксплуатации, с замороженными разрешениями или принудительно перенесены, чтобы устранить потенциальные поверхности атак, оставленные для обратной совместимости. Логика контроля доступа также должна быть улучшена путем проверки источников вызовов и принудительного соблюдения более строгих проверок разрешений для предотвращения эксплуатации через непреднамеренные пути вызовов.
• Улучшение процессов и охвата аудита: Периферийные модули, связанные с основными контрактами (например, резолверы), должны быть включены в формальные области аудита с четко определенными границами риска для каждого компонента. Любые структурные рефакторинги, обновления языка или изменения интерфейса должны запускать процессы повторного аудита, и исторические оценки рисков для устаревших версий должны сохраняться.
• Построить системы мониторинга в реальном времени и системы реагирования на чрезвычайные ситуации: Нацепные системы мониторинга безопасности должны быть развернуты для обнаружения аномального поведения транзакций в реальном времени. Должен быть введен механизм быстрого реагирования, такой как заморозка разрешения, аварийные коммуникационные каналы и стратегии отката, чтобы минимизировать временное окно для потери активов.
• Установить механизмы поощрения для поощрения сотрудничества "белых шляп": программы вознаграждения за обнаружение уязвимостей и соглашения о ответственном раскрытии с "серыми шляпами" могут стимулировать этическую отчетность о уязвимостях, способствуя более сильной общей безопасности проекта.

Zoth

Обзор проекта: Zoth - это платформа перераспределения Ethereum на основе RWA, которая объединяет традиционную финансовую систему и экосистему DeFi через токенизацию активов. Он позволяет пользователям стейкировать соответствующие активы реального мира, чтобы зарабатывать доходы на цепи и участвовать в механизмах перераспределения для повышения эффективности капитала. Согласно его официальному веб-сайту, у Zoth имеется общая заблокированная стоимость (TVL) в размере 35,4 миллиона долларов и более 250 миллионов долларов зарегистрированных активов, что демонстрирует его сильное присутствие в точке пересечения цепных и традиционных финансовых систем. Платформа продолжает расширять свою экосистему перераспределения через партнерства с эмитентами RWA и протоколами ликвидности.

Обзор инцидента:

В марте 2025 года Zoth столкнулся с двумя крупными нарушениями безопасности, что привело к общим потерям примерно в $8.575 миллионов.

• 6 марта: Ошибка в конструкции логики залога Zoth позволила злоумышленникам использовать неточные расчеты в процессе оценки залога контракта. Атакующий обошел проверки валидации залога, повторно вызывая определенные функции и извлекая приблизительно $285,000 излишних средств. Этот инцидент выявил слабые места в том, как контракт обрабатывал оценку активов, пороги коэффициента залога и граничные условия.
• 21 марта: Zoth вновь стал объектом высокоорганизованной и преднамеренной атаки. После нескольких неудачных попыток злоумышленнику удалось получить контроль над учетной записью развертки и использовать ее для обновления протокола через прокси-контракт до злонамеренной версии. Это обновление дало злоумышленнику полный контроль над логикой контракта, позволив им осушить изолированные хранилища, содержащие обеспеченные токены USD0++. Злоумышленник похитил примерно 845 миллионов USD0++, которые быстро обменял на DAI и конвертировал в 4 223 ETH — эквивалентно примерно 8,29 миллионам долларов.

После инцидентов команда Zoth немедленно активировала свой протокол реагирования на чрезвычайные ситуации и сотрудничала с фирмой по безопасности блокчейна Crystal Blockchain BV для проведения расследования. Они также тесно сотрудничали с партнерами-эмитентами активов, чтобы обеспечить безопасность примерно 73% TVL платформы. В публичном заявлении Zoth объявила программу поощрения за нахождение ошибок в размере $500 000, чтобы стимулировать предоставление информации, которая могла бы помочь восстановить похищенные средства.

На 31 марта украденные активы в основном остаются неперемещенными и сосредоточены в двух кошельках (в общей сложности 4 223 ETH). Команда развернула системы мониторинга on-chain и сотрудничает с международными фирмами по аналитике блокчейнов, платформами Web2 и правоохранительными органами для трассировки движений злоумышленника. Zoth обязался опубликовать полный отчет о посмертном и восстановлении и плане восстановления после завершения расследования.[7][8][9]

Рекомендации после инцидента:

• Усиление основного привилегии и улучшение управления: Этот инцидент произошел из-за компрометации закладчика частного ключа, что позволило злонамеренное обновление контракта, выявив критические слабые места в контроле привилегий и процессе обновления. В дальнейшем рекомендуется принять кошельки с мультиподписью, реализовать слоистые разрешения на доступ, установить механизмы белого списка обновлений и обеспечить процедуры управления или проверки безопасности on-chain для обеспечения безопасности обновления.
• Внедрение мониторинга в реальном времени и автоматизированных систем управления рисками: быстрый отток средств указал на отсутствие своевременного выявления. Платформа должна внедрить мониторинг транзакций в реальном времени, системы оповещения об атаках и механизмы замораживания активов на цепочке, чтобы сократить окно реагирования на будущие атаки.
• Улучшение хранения активов и логики контроля доступа: успешный вывод из изолированных хранилищ указывает на недостаточный контроль доступа в механизме хранения. Чтобы гарантировать защиту ключевых активов контрактов с помощью нескольких уровней контроля риска, динамических ограничений вызовов, обнаружения аномального поведения и проверки пути транзакции, необходимо внедрить.
• Институционализировать оперативный реагирование и межкомандное взаимодействие: Команда быстро отреагировала, скоординировавшись с охранными фирмами и правоохранительными органами, выпустив обновления о ходе работы и запустив программу вознаграждения — эффективно стабилизируя ситуацию. Для будущих инцидентов необходимо принять стандартизированный протокол оперативного реагирования, охватывающий пять ключевых этапов: мониторинг, оповещение, замораживание, расследование и коммуникация, с обязательством к постоянной прозрачности.

Краткое изложение

В марте 2025 года несколько проектов DeFi столкнулись с нарушениями безопасности, что привело к потере десятков миллионов долларов. Два примечательных инцидента — эксплуатация уязвимости смарт-контракта на 1inch и атака с привилегированным повышением на Zoth — снова подчеркнули системные риски, такие как уязвимость унаследованного контракта, централизованные привилегии администратора, дефектные механизмы обновления и недостаточные рамки реагирования на риски. В то время как 1inch смогла восстановить большую часть похищенных средств благодаря оперативным переговорам с атакующим, и Zoth оперативно начала сотрудничество между командами и обеспечила безопасность 73% своих активов, оба случая выявили области для улучшения в структурах управления, контроля доступа, проверки безопасности и мониторинга в реальном времени во многих протоколах DeFi.

Эти инциденты подчеркивают важность внедрения систем мониторинга on-chain, автоматизированных механизмов замораживания активов и структур стимулирования для действий gray-hat. Для DeFi-проектов важно сохранять доверие пользователей в долгосрочной перспективе, безопасность должна рассматриваться как базовый элемент дизайна с самого начала, а не как послепродажное обслуживание. Gate.io напоминает пользователям следить за событиями в области безопасности и активно защищать свои личные активы.


Ссылки:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Декьюрити,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Зот,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Исследование Gate
Исследования Gate - это всеобъемлющая платформа исследований блокчейна и криптовалют, предоставляющая глубокий контент. Это включает в себя технический анализ, анализ актуальных тем, обзоры рынка, отраслевые исследования, прогнозы тенденций и анализ макроэкономической политики.

Нажмите здесьпосетить сейчас

Отказ от ответственности
Инвестирование на рынке криптовалют сопряжено с высокими рисками, и рекомендуется пользователям проводить независимое исследование и полностью понимать характер активов и продуктов, которые они приобретают, перед принятием каких-либо инвестиционных решений. Gate.io не несет ответственности за любые потери или ущерб, вызванные такими инвестиционными решениями.