Gate Institut : Résumé des incidents de sécurité de la troisième période de 2025

Le dernier rapport de sécurité de l’industrie Web3 de Gate Research Institute, basé sur les données de Slowmist, indique qu’en mars 2025, 8 incidents de sécurité se sont produits, avec une perte totale d’environ 14,43 millions de dollars. Les types d’incidents sont diversifiés, les incidents causés par le piratage de comptes et les vulnérabilités de contrats représentant le plus grand nombre, soit 62,5 %. Le rapport analyse en détail les incidents de sécurité clés, y compris l’attaque par vulnérabilité de contrat de 1inch et les vulnérabilités de contrat et la fuite de clés privées de Zoth. Les attaques de piratage de comptes et les vulnérabilités de contrat ont été identifiées comme les principaux risques de sécurité du mois, soulignant la nécessité pour l’industrie de renforcer constamment ses mesures de sécurité.

Résumé

• En mars 2025, l’industrie Web3 a connu 8 incidents de sécurité, avec des pertes totales de 14,43 millions de dollars, en forte baisse par rapport au mois précédent.
• Les incidents de sécurité de ce mois-ci concernent principalement des vulnérabilités de contrat, des attaques telles que le piratage de comptes, représentant 62,5 % du total des incidents de sécurité dans l’industrie de la cryptographie.
• Les événements majeurs de ce mois incluent l’attaque par vulnérabilité de contrat de 1inch (perte de 5 millions de dollars, 90 % récupéré), Zoth a subi deux attaques, à savoir une vulnérabilité de contrat et une fuite de clé privée (perte totale atteignant 8,575 millions de dollars).
• En ce qui concerne la distribution des incidents de sécurité sur les chaînes, ce mois-ci, seule la perte d’un projet a eu lieu sur la chaîne publique BSC.

Aperçu des incidents de sécurité

Selon les données de Slowmist, entre le 1er mars et le 30 mars 2025, 8 incidents de sécurité ont été enregistrés, avec une perte totale de 14,43 millions de dollars. Les attaques concernaient principalement des vulnérabilités de contrat, des attaques de compte par des hackers et d’autres méthodes. Par rapport à février 2025, le montant total des pertes a diminué de 99 %. Les vulnérabilités de contrat et les comptes piratés sont les principales raisons des attaques, avec 5 attaques de hackers connexes, représentant 62,5 % du total. Le compte officiel X reste la principale cible des hackers.【1】

Ce mois-ci, seule la chaîne publique BSC a connu un incident de sécurité, le projet Four.Meme ayant perdu plus de 180 000 dollars, montrant que l’écosystème BSC a encore un potentiel d’optimisation continue en matière d’audit de contrats intelligents, de mécanismes de gestion des risques et de surveillance en chaîne.

Ce mois-ci, plusieurs projets de blockchain ont subi de graves incidents de sécurité, entraînant des pertes financières importantes. Parmi les événements les plus marquants, on trouve la plateforme de staking RWA Zoth qui a subi deux attaques consécutives, une fois avec une perte de 8,29 millions de dollars en raison d’une attaque de hacker, et une autre fois avec une perte de 285 000 dollars en raison d’une faille dans le contrat ; de plus, l’agrégateur DEX 1inch a également perdu 5 millions de dollars à cause d’une faille dans le contrat.

Événements de sécurité majeurs de mars

Selon les informations officielles, les pertes subies par les projets suivants en mars ont dépassé 13,5 millions de dollars. La fuite de la clé privée et les failles des contrats sont les deux principales menaces.

• 1inch a subi une perte de 5 millions de dollars, les attaquants ayant exploité une vulnérabilité dans l’ancien contrat Fusion v1 de 1inch pour voler environ 5 millions de dollars de USDC et wETH, les fonds impliqués provenant du parseur et non des actifs des utilisateurs.
• Zoth a subi deux attaques, avec des pertes totales atteignant 8,575 millions de dollars. Le 6 mars, une vulnérabilité dans le calcul de la garantie a entraîné une perte d’environ 285 000 dollars ; le 21 mars, un hacker a obtenu des droits d’administrateur pour mettre à jour le contrat en une version malveillante, volant environ 8,29 millions de USD0++, qui ont finalement été convertis en 4 223 ETH.

1inch

Présentation du projet : 1inch est un agrégateur d’échanges décentralisés, conçu pour rechercher les meilleurs chemins de prix pour les utilisateurs à travers plusieurs échanges décentralisés grâce à des algorithmes intelligents, améliorant ainsi l’efficacité des transactions et l’utilisation des fonds. Selon les données du site officiel, 1inch a intégré plus de 3,2 millions de sources de liquidité, avec un volume total de transactions dépassant 596 milliards de dollars, comptant plus de 21,7 millions d’utilisateurs et ayant exécuté plus de 134 millions de transactions. 【2】

Résumé de l’événement : 1inch a subi une perte d’environ 5 millions de dollars le 5 mars en raison d’une vulnérabilité dans le contrat Fusion v1 ancien. Les attaquants ont exploité cette vulnérabilité pour voler environ 5 millions de dollars en USDC et wETH, les fonds concernés appartenant au parseur (c’est-à-dire l’entité qui exécute les ordres au nom des utilisateurs), et non aux actifs des utilisateurs finaux. Selon l’enquête qui a suivi, la vulnérabilité se trouvait dans un contrat intelligent obsolète, les attaquants ayant transféré des fonds à partir du parseur en appelant des fonctions pertinentes via des chemins de transaction soigneusement conçus, tandis que la version actuelle du contrat ne présente pas cette vulnérabilité.

Selon le rapport post-incident de Decurity, l’équipe 1inch a négocié avec le hacker après l’incident, la majeure partie des fonds volés a été restituée (90 % ont été récupérés jusqu’à présent), le hacker a conservé une partie comme prime de vulnérabilité. Cette attaque a principalement affecté les anciens parseurs qui n’ont pas été mis à jour à temps, les actifs des utilisateurs ordinaires n’ont pas été directement affectés et il n’y a pas eu de fuite massive de fonds des utilisateurs. Cet événement souligne l’importance de nettoyer et de mettre à jour rapidement les anciens contrats.

Réflexion après l’accident :

• Renforcer la gestion des contrats anciens et le contrôle des permissions : Pour les contrats intelligents obsolètes (comme Fusion v1), il convient de procéder à une mise hors ligne complète, à un gel des permissions ou à des mesures de migration forcée, afin d’éviter un potentiel vecteur d’attaque dû à la compatibilité. Parallèlement, il est nécessaire d’améliorer la logique de contrôle d’accès, de renforcer la vérification des sources d’appels et les restrictions de permissions pour éviter que des chemins d’appels non prévus soient exploités.
• Améliorer le processus et la portée de l’audit : Inclure les modules périphériques liés aux contrats principaux (comme le resolver) dans le cadre de l’audit officiel, et clarifier les limites de risque de chaque composant. Après une restructuration du code, une mise à niveau de la langue ou un changement d’interface, le processus d’audit doit être relancé, et les enregistrements de contrôle des risques de l’ancienne version doivent être conservés.
• Construire un système de surveillance en temps réel et de réponse d’urgence : déployer un système de surveillance de la sécurité en chaîne pour capturer en temps réel les comportements de transaction anormaux, et établir un mécanisme de réponse rapide (comme le gel des autorisations, la communication d’urgence, un plan de retour en arrière de gestion des risques), afin de réduire la fenêtre de temps de perte de fonds.
• Établir un mécanisme d’incitation positive pour encourager la collaboration des hackers éthiques : grâce à un système de primes pour les vulnérabilités et un mécanisme de négociation avec les hackers gris, guider les attaquants potentiels à signaler les problèmes de sécurité de manière responsable, ce qui aide à améliorer le niveau global de protection de la sécurité du projet.

Zoth

Aperçu du projet : Zoth est une plateforme de re-staking RWA basée sur Ethereum, connectant la finance traditionnelle et l’écosystème DeFi par le biais de la tokenisation d’actifs. Les utilisateurs peuvent staker des actifs du monde réel conformes, obtenir des rendements en chaîne et participer au mécanisme de re-staking pour améliorer l’efficacité du capital. Selon les données du site officiel, la valeur totale verrouillée de Zoth atteint 35,4 millions de dollars, avec des actifs enregistrés de 250 millions de dollars, montrant qu’elle a établi un pont solide entre la finance en chaîne et traditionnelle, et continue d’élargir l’écosystème de re-staking en collaborant avec plusieurs émetteurs RWA et protocoles de liquidité.

Aperçu de l’événement : Zoth a subi deux graves incidents de sécurité en mars 2025, entraînant des pertes totales d’environ 8,575 millions de dollars.

• Le 6 mars, la plateforme Zoth a connu une faille de conception dans sa logique de garantie, permettant à un hacker d’exploiter un mécanisme de jugement imprécis concernant le calcul de la valeur de la garantie dans le contrat, et d’extraire des fonds excédentaires sans avoir à satisfaire le taux de garantie réel. L’attaquant a réussi à extraire environ 285 000 dollars d’actifs en appelant plusieurs fois les fonctions concernées, contournant ainsi la logique de vérification de la garantie. Cet incident a mis en lumière les insuffisances internes du contrat concernant l’évaluation des actifs, la définition du taux de garantie et la vérification des conditions limites.
• Le 21 mars, un autre incident d’attaque de haute préconception s’est produit chez Zoth. Après plusieurs tentatives échouées, l’attaquant a réussi à prendre le contrôle du compte du déployeur et, via un contrat proxy malveillant, a remplacé la logique centrale du protocole par une version malveillante pouvant exécuter des opérations non autorisées. L’attaquant en a profité pour extraire des actifs USD0++ déposés dans le coffre-fort isolé, totalisant environ 8,45 millions d’USD0++, et a rapidement échangé cela contre 4 223 ETH, soit environ 8,29 millions de dollars.

Après l’incident, l’équipe Zoth a immédiatement activé son mécanisme d’urgence, en collaboration avec l’agence de sécurité blockchain Crystal Blockchain BV pour mener une enquête, et en coopération avec le partenaire Asset Issuer pour protéger environ 73 % du TVL de la plateforme. De plus, l’équipe Zoth a publié une déclaration publique, établissant un programme de récompense de 500 000 dollars pour inciter à fournir des informations efficaces pour récupérer les fonds.

Jusqu’au 31 mars, les fonds des attaquants n’ont pas été déplacés massivement, se concentrant principalement sur deux adresses de portefeuille (un total de 4 223 ETH). L’équipe a déployé un système de surveillance sur la chaîne et collabore étroitement avec des sociétés d’analyse sur la chaîne, des plateformes Web2 et des organismes d’application de la loi pour traquer les traces en ligne des attaquants. Zoth s’est engagé à publier un rapport complet de rétrospective à la fin de l’enquête et à synchroniser la restitution des actifs de la plateforme ainsi que le plan de reconstruction.

Réflexion après l’accident :

• Renforcer la gestion des droits d’accès et des mises à niveau des contrats : cet incident provient de la compromission de la clé privée du déployeur et de l’exécution d’une mise à niveau malveillante, révélant de graves vulnérabilités dans le contrôle des droits d’accès et le processus de mise à niveau. Il est conseillé d’adopter à l’avenir un mécanisme de signature multiple, une hiérarchisation des droits d’accès, un mécanisme de liste blanche pour les mises à niveau, et d’établir une gouvernance en chaîne ou un processus d’audit de sécurité pour garantir la sécurité des mises à niveau.
• Établir un système de surveillance en temps réel et de gestion des risques automatisée : le transfert rapide des fonds montre que la réponse de surveillance n’est pas à jour. À l’avenir, il convient de déployer un système de surveillance des transactions sur la chaîne, un système d’alerte en cas d’attaque et un mécanisme de gel des actifs, afin de réduire la fenêtre de temps de détection et de réponse aux attaques.
• Optimiser la logique de garde d’actifs et de contrôle d’accès : l’appel du coffre-fort isolé indique que le mécanisme de garde manque de restrictions d’autorisation d’appel. Il est recommandé d’introduire des restrictions d’appel dynamiques, des détections de comportements anormaux et des mécanismes de vérification de chemin pour s’assurer que les contrats d’actifs clés disposent de multiples protections contre les risques.
• Mécanisme de réponse d’urgence institutionnalisé et de collaboration inter-équipes : après un incident, l’équipe réagit rapidement en liaison avec les organismes de sécurité et les unités d’application de la loi, publie des mises à jour et établit une récompense, stabilisant ainsi efficacement la situation. Il est conseillé de standardiser le processus de réponse d’urgence, comprenant cinq étapes : surveillance, rapport, gel, enquête et communication, tout en restant continuellement transparent envers l’extérieur.

Conclusion

En mars 2025, plusieurs DeFi ont subi des attaques de vulnérabilités de sécurité, entraînant des pertes d’actifs de plusieurs dizaines de millions de dollars. Deux événements de sécurité typiques dans le domaine DeFi – l’attaque de vulnérabilité des contrats intelligents de 1inch et l’attaque de montée en puissance de permissions de Zoth – soulignent à nouveau les risques systémiques tels que les contrats hérités obsolètes, la concentration des permissions centrales, les défauts des mécanismes de mise à niveau et l’insuffisance des réponses en matière de contrôle des risques. Bien que 1inch ait rapidement négocié avec les attaquants pour récupérer la majorité des fonds après l’incident, Zoth a également rapidement lancé une collaboration inter-équipes et a préservé 73 % des actifs, mais ces deux événements montrent également qu’il reste des marges d’optimisation pour certains projets DeFi en matière de mécanismes de gouvernance, de gestion des permissions, d’audit de sécurité et de surveillance en temps réel.

Ces récents incidents de sécurité soulignent également l’importance d’établir des mécanismes de surveillance en chaîne, des processus de gel automatiques et un système d’incitation de chapeau gris. À l’avenir, si les projets DeFi souhaitent maintenir la confiance continue des utilisateurs, ils doivent considérer la sécurité comme un élément central de la conception du système dès le départ, et non comme une mesure de secours après coup. Gate.io rappelle aux utilisateurs de rester attentifs aux dynamiques de sécurité et de renforcer la protection de leurs actifs personnels.
Références :

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Cliquez sur lienpour y aller immédiatement

Avertissement L’investissement sur le marché des cryptomonnaies comporte des risques élevés. Il est conseillé aux utilisateurs de mener des recherches indépendantes et de bien comprendre la nature des actifs et des produits achetés avant de prendre une décision d’investissement. Gate.io n’assume aucune responsabilité pour les pertes ou dommages résultant de telles décisions d’investissement.