Gate Research Institute: Ringkasan Kejadian Keamanan Tahap Ketiga Tahun 2025

Laporan keamanan industri Web3 terbaru dari Gate Research Institute, berdasarkan data Slowmist, mencatat bahwa pada Maret 2025, terjadi 8 insiden keamanan dengan total kerugian sekitar 14,43 juta dolar. Jenis insiden bervariasi, di mana insiden yang disebabkan oleh akun yang diretas dan kerentanan kontrak mendominasi, dengan proporsi 62,5%. Laporan ini menganalisis insiden keamanan kunci secara mendetail, termasuk serangan kerentanan kontrak pada 1inch dan kebocoran kunci pribadi pada Zoth. Serangan peretasan akun dan kerentanan kontrak diidentifikasi sebagai risiko keamanan utama bulan ini, menyoroti perlunya industri untuk terus memperkuat langkah-langkah keamanan.

Ringkasan

• Pada bulan Maret 2025, terjadi 8 insiden keamanan di industri Web3 dengan total kerugian sebesar 14,43 juta dolar, turun signifikan dibandingkan bulan lalu.
• Kejadian keamanan bulan ini terutama melibatkan kerentanan kontrak, akun yang diretas, dan metode serangan lainnya, yang menyumbang 62,5% dari total kejadian keamanan di industri kripto.
• Peristiwa besar bulan ini termasuk serangan kerentanan kontrak pada 1inch (kerugian 5 juta dolar, 90 persen sudah dipulihkan), Zoth mengalami dua serangan, yaitu kerentanan kontrak dan kebocoran kunci pribadi (total kerugian mencapai 8,575 juta dolar).
• Berdasarkan distribusi kejadian keamanan di setiap rantai, bulan ini hanya satu proyek yang mengalami kerugian di blockchain publik BSC.

Ringkasan Kejadian Keamanan

Menurut data Slowmist, dari 1 Maret 2025 hingga 30 Maret 2025, tercatat 8 kejadian keamanan dengan total kerugian sebesar 14,43 juta dolar AS. Serangan tersebut terutama melibatkan celah kontrak, serangan hacker pada akun, dan metode lainnya. Jika dibandingkan dengan bulan Februari 2025, total jumlah kerugian mengalami penurunan 99%. Celah kontrak dan akun yang diretas adalah penyebab utama serangan, dengan 5 kejadian serangan hacker terkait, yang menyumbang 62,5% dari total. Akun X resmi masih menjadi target utama hacker.

Bulan ini hanya ada kejadian keamanan di blockchain BSC, proyek Four.Meme mengalami kerugian lebih dari 180.000 dolar AS, menunjukkan bahwa ekosistem BSC masih memiliki ruang untuk terus mengoptimalkan audit kontrak pintar, mekanisme manajemen risiko, dan pemantauan di blockchain.

Bulan ini, beberapa proyek blockchain mengalami kecelakaan keamanan yang serius, menyebabkan kerugian finansial yang signifikan. Di antara peristiwa yang paling mencolok adalah serangan berturut-turut pada platform staking RWA Zoth, di mana satu kali diserang oleh hacker menyebabkan kerugian 8,29 juta dolar, dan yang lainnya akibat celah kontrak menyebabkan kerugian 285 ribu dolar; selain itu, agregator DEX 1inch juga mengalami kerugian 5 juta dolar akibat celah kontrak.

Peristiwa Keamanan Penting di Bulan Maret

Menurut pengumuman resmi, proyek berikut mengalami kerugian lebih dari 13,5 juta dolar AS pada bulan Maret. Kunci Pribadi yang bocor dan celah kontrak adalah dua ancaman utama.

• 1inch menderita kerugian dana $ 5 juta, dan penyerang mengeksploitasi kerentanan versi lama kontrak Fusion v1 1inch untuk mencuri sekitar $ 5 juta dalam USDC dan wETH, dan dana yang terlibat berasal dari parser, bukan aset pengguna.
• Zoth telah mengalami dua serangan, dengan total kerugian mencapai 8,575,000 USD. Pada 6 Maret, kerugian sekitar 285,000 USD disebabkan oleh celah perhitungan jaminan; pada 21 Maret, Hacker mendapatkan hak administrator untuk meningkatkan kontrak menjadi versi berbahaya, mencuri sekitar 8,290,000 USD dari USD0++, yang akhirnya ditukarkan menjadi 4,223 ETH.

1inch

Gambaran Proyek: 1inch adalah agregator perdagangan terdesentralisasi yang bertujuan untuk menemukan jalur harga yang optimal bagi pengguna melalui algoritma cerdas di berbagai bursa terdesentralisasi, sehingga meningkatkan efisiensi perdagangan dan pemanfaatan dana. Menurut data dari situs resmi, 1inch telah mengintegrasikan lebih dari 3,2 juta sumber likuiditas, dengan total volume transaksi kumulatif melebihi 596 miliar dolar, memiliki lebih dari 21,7 juta pengguna, dan telah melakukan lebih dari 134 juta transaksi.【2】

Gambaran Umum Peristiwa: 1inch pada 5 Maret mengalami kerugian sekitar 5 juta dolar AS karena adanya celah pada kontrak Fusion v1 versi lama. Penyerang memanfaatkan celah tersebut untuk mencuri sekitar 5 juta USDC dan wETH, yang merupakan dana milik parser (yaitu entitas yang mewakili pengguna dalam mengeksekusi pesanan), bukan aset pengguna akhir. Berdasarkan penyelidikan setelah kejadian, celah tersebut terdapat pada kontrak pintar yang sudah ketinggalan zaman, di mana penyerang memindahkan dana dari parser dengan memanggil fungsi terkait melalui jalur transaksi yang dirancang dengan cermat, sedangkan versi kontrak saat ini tidak memiliki celah tersebut.

Menurut laporan pasca kejadian dari Decurity, tim 1inch bernegosiasi dengan hacker setelah insiden tersebut, sebagian besar dana yang dicuri telah dikembalikan (sekarang sudah dipulihkan sembilan puluh persen), hacker menyimpan sebagian sebagai imbalan atas celah. Serangan ini terutama mempengaruhi parser versi lama yang tidak diperbarui tepat waktu, aset pengguna biasa tidak terpengaruh secara langsung, dan tidak terjadi aliran keluar dana pengguna secara besar-besaran. Peristiwa ini menyoroti pentingnya membersihkan dan memperbarui kontrak versi lama tepat waktu.

Refleksi Setelah Kecelakaan:

• Memperkuat manajemen kontrak versi lama dan kontrol akses: Kontrak pintar yang telah ditinggalkan (seperti Fusion v1) harus diambil langkah untuk menurunkan secara menyeluruh, membekukan akses, atau memaksa migrasi untuk mencegah potensi permukaan serangan akibat penyimpanan kompatibilitas. Pada saat yang sama, memperbaiki logika kontrol akses, memperkuat verifikasi sumber panggilan dan pembatasan akses, untuk mencegah jalur panggilan yang tidak diharapkan dimanfaatkan.
• Memperbaiki proses dan cakupan audit: Memasukkan modul periferal yang terkait dengan kontrak inti (seperti resolver) ke dalam cakupan audit resmi, dan memperjelas batas risiko masing-masing komponen. Setelah restrukturisasi kode, peningkatan bahasa, atau perubahan antarmuka, proses audit harus dipicu kembali, dan menyimpan catatan risiko versi lama.
• Membangun sistem pemantauan real-time dan respons darurat: Mengimplementasikan sistem pemantauan keamanan di blockchain, menangkap perilaku transaksi yang abnormal secara real-time, dan menetapkan mekanisme respons cepat (seperti pembekuan izin, komunikasi darurat, rencana pemulihan risiko), mengurangi jendela waktu kerugian dana.
• Membangun mekanisme insentif positif, mendorong kolaborasi white hat: Melalui sistem imbalan bug dan mekanisme negosiasi dengan hacker gray hat, mengarahkan penyerang potensial untuk melaporkan kerentanan keamanan dengan cara yang bertanggung jawab, yang berkontribusi pada peningkatan keseluruhan tingkat perlindungan keamanan proyek.

Zoth

Ikhtisar Proyek: Zoth adalah platform RWA re-staking berbasis Ethereum yang menghubungkan keuangan tradisional dan ekosistem DeFi melalui tokenisasi aset. Pengguna dapat mempertaruhkan aset dunia nyata yang sesuai untuk mendapatkan imbal hasil di blockchain dan berpartisipasi dalam mekanisme re-staking untuk meningkatkan efisiensi modal. Menurut data dari situs resmi, total nilai terkunci di Zoth mencapai 35,4 juta dolar AS, dengan total aset terdaftar mencapai 250 juta dolar AS, menunjukkan bahwa ia telah membangun jembatan yang kuat antara on-chain dan keuangan tradisional, serta terus memperluas ekosistem re-staking melalui kerja sama dengan beberapa penerbit RWA dan protokol likuiditas.

Ringkasan Peristiwa: Zoth mengalami dua insiden keamanan serius pada Maret 2025, dengan total kerugian sekitar 857,5 juta dolar AS.

• Pada 6 Maret, platform Zoth mengalami cacat desain pada logika jaminan, yang memungkinkan hacker memanfaatkan mekanisme penilaian yang tidak ketat terhadap perhitungan nilai jaminan dalam kontrak, untuk menarik dana berlebih tanpa memenuhi rasio jaminan yang sebenarnya. Penyerang berhasil menarik sekitar 285.000 dolar AS dengan memanggil fungsi terkait beberapa kali, melewati logika pemeriksaan jaminan. Kejadian ini mengungkapkan kekurangan dalam penilaian aset, penetapan rasio jaminan, dan pemeriksaan kondisi batas di dalam kontrak.
• Pada 21 Maret, Zoth kembali mengalami insiden serangan dengan niat tinggi yang direncanakan. Penyerang, setelah beberapa kali mencoba gagal, berhasil mendapatkan kontrol atas akun penyebar, dan melalui kontrak proxy jahat yang ditingkatkan, mengganti logika inti protokol dengan versi jahat yang dapat menjalankan operasi tanpa otorisasi. Penyerang memanfaatkan ini untuk menarik aset USD0++ yang terikat dalam brankas terisolasi, mencuri total sekitar 8,45 juta USD0++, dan dengan cepat menukarnya menjadi DAI sebelum mengonversinya menjadi 4.223 ETH, setara dengan sekitar 8,29 juta dolar.

Setelah peristiwa terjadi, tim Zoth segera memulai mekanisme respons darurat, bekerja sama dengan lembaga keamanan blockchain Crystal Blockchain BV untuk melakukan penyelidikan, dan berkolaborasi dengan mitra Penerbit Aset untuk melindungi sekitar 73% dari TVL platform. Selain itu, tim Zoth telah merilis pernyataan publik, mendirikan program hadiah bug sebesar 500.000 dolar untuk mendorong bantuan dalam mengembalikan dana dengan petunjuk yang efektif.

Hingga 31 Maret, dana penyerang belum berpindah secara besar-besaran, terutama terfokus pada dua alamat dompet (total 4.223 ETH), tim telah menerapkan sistem pemantauan on-chain, dan bekerja sama erat dengan perusahaan analisis on-chain global, platform Web2, dan lembaga penegak hukum untuk sepenuhnya melacak jejak on-chain penyerang. Zoth berjanji akan merilis laporan pemulihan lengkap setelah penyelidikan selesai, dan juga akan mengumumkan rencana pemulihan dan pembangunan kembali aset platform.

Refleksi Setelah Kecelakaan:

• Memperkuat manajemen hak akses inti dan pembaruan kontrak: Peristiwa ini berasal dari kunci pribadi penyebar yang diretas dan menjalankan pembaruan berbahaya, yang mengungkapkan risiko besar dalam kontrol hak akses dan proses pembaruan. Disarankan untuk menggunakan mekanisme multi-tanda tangan, lapisan hak akses, mekanisme daftar putih pembaruan di masa depan, serta membangun tata kelola on-chain atau proses audit keamanan untuk memastikan keamanan pembaruan.
• Membangun sistem pemantauan waktu nyata dan otomatisasi manajemen risiko: Dana yang cepat dipindahkan menunjukkan respons pemantauan yang tidak tepat waktu, ke depan harus diterapkan pemantauan transaksi di blockchain, sistem peringatan serangan, dan mekanisme pembekuan aset, untuk memperpendek jendela waktu deteksi dan respons serangan.
• Optimalkan logika pengelolaan aset dan kontrol akses: Isolasi panggilan ke brankas menunjukkan bahwa mekanisme pengelolaan kurang memiliki pembatasan izin panggilan, disarankan untuk memperkenalkan pembatasan panggilan dinamis, deteksi perilaku abnormal, dan mekanisme verifikasi jalur, untuk memastikan kontrak aset kunci memiliki perlindungan risiko ganda.
• Mekanisme respons darurat yang terstandardisasi dan kolaborasi antar tim: Setelah kejadian, tim segera berkoordinasi dengan lembaga keamanan dan penegakan hukum, mengumumkan kemajuan dan menetapkan hadiah, untuk menstabilkan situasi secara efektif. Disarankan untuk memformalkan proses standar respons darurat, mencakup lima tahap: pemantauan, pelaporan, pembekuan, penyelidikan, dan komunikasi, serta terus menerus menjaga transparansi kepada publik.

Kesimpulan

Pada Maret 2025, beberapa DeFi mengalami serangan kerentanan keamanan, dengan total kerugian aset mencapai puluhan juta dolar. Dua peristiwa keamanan khas di bidang DeFi—serangan kerentanan kontrak cerdas 1inch dan serangan peningkatan hak akses Zoth—sekali lagi menyoroti risiko sistemik seperti warisan kontrak lama, konsentrasi hak akses inti, cacat mekanisme peningkatan, dan respons manajemen risiko yang tidak memadai. Meskipun 1inch dengan cepat bernegosiasi dengan penyerang untuk memulihkan sebagian besar dana setelah peristiwa tersebut, Zoth juga segera memulai kolaborasi lintas tim dan melindungi 73% aset, tetapi kedua peristiwa tersebut juga menunjukkan bahwa beberapa proyek DeFi saat ini masih memiliki ruang untuk perbaikan lebih lanjut dalam hal mekanisme tata kelola, manajemen hak akses, audit keamanan, dan pemantauan waktu nyata.

Beberapa kejadian keamanan ini semakin menekankan pentingnya membangun mekanisme pemantauan on-chain, proses pembekuan otomatis, dan sistem insentif gray hat. Di masa depan, jika proyek DeFi ingin mendapatkan kepercayaan pengguna secara berkelanjutan, keamanan harus dianggap sebagai elemen rekayasa inti sejak tahap desain sistem, bukan sebagai langkah perbaikan setelahnya. Gate.io mengingatkan pengguna untuk memperhatikan dinamika keamanan dan memperkuat perlindungan aset pribadi.
**Referensi: **

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Klik [link] ( https://www.gate.io/learn/category/research) untuk segera pergi.

Penyangkalan Investasi di pasar cryptocurrency melibatkan risiko tinggi, disarankan kepada pengguna untuk melakukan penelitian independen dan memahami sepenuhnya sifat aset dan produk yang dibeli sebelum membuat keputusan investasi apa pun. Gate.io tidak bertanggung jawab atas kerugian atau kerusakan yang disebabkan oleh keputusan investasi semacam itu.