Gate Instituto: Resumo dos eventos de segurança do terceiro trimestre de 2025

O mais recente relatório de segurança da indústria Web3 do Gate Research Institute, baseado em dados da Slowmist, revelou que em março de 2025 ocorreram 8 incidentes de segurança, resultando em uma perda total de aproximadamente 14,43 milhões de dólares. Os tipos de incidentes são variados, sendo que a maioria ocorreu devido a contas sendo hackeadas e vulnerabilidades em contratos, representando 62,5%. O relatório analisou detalhadamente os principais incidentes de segurança, incluindo o ataque de vulnerabilidade de contrato ao 1inch e a vulnerabilidade de contrato e vazamento de chave privada ao Zoth. Os ataques de hackers a contas e vulnerabilidades em contratos foram identificados como os principais riscos de segurança deste mês, destacando a necessidade crescente de medidas de segurança mais rigorosas na indústria.

Resumo

• Em março de 2025, ocorreram 8 incidentes de segurança na indústria Web3, com perdas totais de 14,43 milhões de dólares, uma queda acentuada em relação ao mês anterior.
• Os eventos de segurança deste mês envolveram principalmente vulnerabilidades de contratos, ataques de conta por hackers e outros métodos, representando 62,5% do total de eventos de segurança na indústria de criptomoedas.
• Os principais eventos deste mês incluem o ataque de vulnerabilidade de contrato à 1inch (perda de 5 milhões de dólares, 90% já recuperados), e o Zoth que sofreu dois ataques, um por vulnerabilidade de contrato e outro por vazamento de chave privada (perda total de 8.575 milhões de dólares).
• Em termos de distribuição de eventos de segurança em várias blockchains, este mês apenas um projeto sofreu perdas na blockchain pública BSC.

Resumo do incidente de segurança

De acordo com os dados da Slowmist, entre 1 de março e 30 de março de 2025, foram registados 8 incidentes de segurança, com uma perda total de 14,43 milhões de dólares. Os ataques envolveram principalmente vulnerabilidades em contratos, ataques a contas e outros métodos. Em comparação com fevereiro de 2025, o montante total das perdas caiu 99%. As vulnerabilidades em contratos e as contas hackeadas foram as principais causas dos ataques, com 5 ataques de hackers relacionados, representando 62,5% do total. A conta oficial X continua a ser o principal alvo dos hackers.【1】

Neste mês, apenas a blockchain BSC teve um incidente de segurança, com o projeto Four.Meme a perder mais de 180 mil dólares, mostrando que o ecossistema BSC ainda tem espaço para otimização contínua na auditoria de contratos inteligentes, mecanismos de gestão de risco e monitorização em cadeia.

Este mês, vários projetos de blockchain enfrentaram sérios acidentes de segurança, resultando em perdas financeiras significativas. Entre os eventos mais notáveis estão os ataques consecutivos à plataforma de staking RWA Zoth, que resultaram em uma perda de 8,29 milhões de dólares devido a um ataque de Hacker e outra perda de 285 mil dólares devido a uma vulnerabilidade de contrato; além disso, o agregador DEX 1inch também perdeu 5 milhões de dólares devido a uma vulnerabilidade de contrato.

Eventos de segurança significativos em março

De acordo com a divulgação oficial, os seguintes projetos sofreram perdas superiores a 13,5 milhões de dólares em março. A Chave privada vazada e vulnerabilidades em contratos são as duas principais ameaças.

• 1inch sofreu uma perda de 5 milhões de dólares, com o atacante a explorar uma vulnerabilidade no contrato antigo Fusion v1 da 1inch, roubando cerca de 5 milhões de dólares em USDC e wETH, sendo os fundos envolvidos provenientes do analisador e não de ativos dos usuários.
• Zoth sofreu dois ataques, com perdas acumuladas de 8.575.000 dólares. No dia 6 de março, devido a uma vulnerabilidade no cálculo de colaterais, resultou em uma perda de cerca de 285.000 dólares; no dia 21 de março, o Hacker obteve acesso administrativo e atualizou o contrato para uma versão maliciosa, roubando cerca de 8.290.000 USD0++, que foi finalmente convertido em 4.223 ETH.

1inch

Visão geral do projeto: 1inch é um agregador de troca descentralizado, que visa encontrar o caminho de preço ótimo para os usuários em várias trocas descentralizadas por meio de algoritmos inteligentes, aumentando assim a eficiência das transações e a utilização de capital. De acordo com os dados do site oficial, 1inch integrou mais de 3,2 milhões de fontes de liquidez, com um volume total de transações superior a 596 bilhões de dólares, possuindo mais de 21,7 milhões de usuários e executando mais de 134 milhões de transações.【2】

Resumo do evento: Em 5 de março, a 1inch sofreu uma perda de cerca de 5 milhões de dólares devido a uma vulnerabilidade no contrato Fusion v1 antigo. O atacante exploitou essa vulnerabilidade para roubar cerca de 5 milhões de dólares em USDC e wETH, sendo os fundos em questão pertencentes ao parser (ou seja, a entidade que executa ordens em nome dos usuários), e não aos ativos dos usuários finais. De acordo com a investigação subsequente, a vulnerabilidade existia em um contrato inteligente desatualizado, e o atacante transferiu fundos do parser por meio de um caminho de transação cuidadosamente elaborado que chamava as funções relevantes, enquanto a versão atual do contrato não possui essa vulnerabilidade.

De acordo com o relatório pós-evento da Decurity, a equipe da 1inch negociou com o hacker após o incidente, e a maior parte dos fundos roubados já foi devolvida (atualmente, noventa por cento foi recuperado), com o hacker retendo uma parte como recompensa por vulnerabilidade. Este ataque afetou principalmente os antigos analisadores que não foram atualizados a tempo, e os ativos dos usuários comuns não foram diretamente impactados, nem houve um fluxo massivo de fundos dos usuários. Este evento destaca a importância de limpar e atualizar os contratos antigos de forma oportuna.

Reflexão após o acidente:

• Reforçar a gestão de contratos antigos e o controlo de permissões: Para os contratos inteligentes descontinuados (como o Fusion v1), devem ser tomadas medidas para a sua desactivação total, congelamento de permissões ou migração forçada, a fim de evitar potenciais superfícies de ataque resultantes da manutenção de compatibilidade. Ao mesmo tempo, deve-se melhorar a lógica de controlo de acesso, reforçando a verificação da origem das chamadas e as restrições de permissões, para evitar que caminhos de chamada não esperados sejam explorados.
• Melhorar o processo e o alcance da auditoria: incluir módulos periféricos relacionados ao contrato central (como resolver) no alcance formal da auditoria, definindo claramente os limites de risco de cada componente. Após a reestruturação da estrutura de código, atualização de linguagem ou alteração de interface, o processo de auditoria deve ser reativado e os registros de controle de risco das versões anteriores devem ser mantidos.
• Construir um sistema de monitoramento em tempo real e resposta a emergências: implantar um sistema de monitoramento de segurança em blockchain, capturando em tempo real comportamentos de transação anormais, e estabelecer um mecanismo de resposta rápida (como congelamento de permissões, comunicação de emergência, plano de reversão de risco), reduzindo a janela de tempo para perdas financeiras.
• Estabelecer um mecanismo de incentivos positivos que encoraje a colaboração entre os hackers éticos: através de um sistema de recompensas por vulnerabilidades e um mecanismo de negociação com hackers cinzas, direcionar potenciais atacantes a relatar de forma responsável as vulnerabilidades de segurança, ajudando a melhorar o nível geral de proteção de segurança do projeto.

Zoth

Visão geral do projeto: Zoth é uma plataforma de re-staking RWA baseada em Ethereum, que conecta o financiamento tradicional ao ecossistema DeFi através da tokenização de ativos. Os usuários podem fazer staking de ativos do mundo real que estão em conformidade, obtendo rendimentos on-chain e participando do mecanismo de re-staking para aumentar a eficiência do capital. De acordo com os dados do site oficial, o valor total bloqueado da Zoth atinge 35,4 milhões de dólares, com ativos registrados de 250 milhões de dólares, mostrando que estabeleceu uma ponte sólida entre o on-chain e o financiamento tradicional, e continua a expandir o ecossistema de re-staking através da colaboração com várias emissoras RWA e protocolos de liquidez.

Resumo do evento: Zoth enfrentou dois graves incidentes de segurança em março de 2025, com perdas acumuladas de cerca de 8,575 milhões de dólares.

• No dia 6 de março, a plataforma Zoth teve uma falha de design na lógica de colateral, permitindo que hackers utilizassem um mecanismo de julgamento impreciso na avaliação do valor do colateral, retirando fundos em excesso sem necessidade de atender à taxa de colateral real. Os atacantes chamaram repetidamente funções relacionadas, contornando a lógica de verificação de colateral, e conseguiram extrair cerca de 285 mil dólares em ativos. Este incidente expôs as deficiências na avaliação de ativos, definição de taxa de colateral e verificação de condições limite dentro do contrato.
• No dia 21 de março, ocorreu novamente um incidente de ataque com alto grau de premeditação envolvendo Zoth. Após várias tentativas fracassadas, os atacantes conseguiram obter o controle da conta do implementador e, através de um contrato proxy malicioso, atualizaram o núcleo da lógica do protocolo, substituindo-o por uma versão maliciosa que executava operações não autorizadas. Os atacantes extraíram os ativos colaterais USD0++ do cofre isolado, totalizando cerca de 8,45 milhões de USD0++, e rapidamente os trocaram por DAI, que foram convertidos em 4.223 ETH, equivalendo a cerca de 8,29 milhões de dólares.

Após o incidente, a equipe Zoth imediatamente ativou o mecanismo de resposta de emergência, unindo-se à agência de segurança blockchain Crystal Blockchain BV para investigar e colaborando com o parceiro Asset Issuer para proteger cerca de 73% do TVL da plataforma. Além disso, a equipe Zoth já divulgou um comunicado público, estabelecendo um programa de recompensa de 500 mil dólares para incentivar informações eficazes que ajudem a recuperar os fundos.

Até 31 de março, os fundos dos atacantes ainda não foram movidos em larga escala, concentrando-se principalmente em dois endereços de carteira (totalizando 4,223 ETH). A equipe já implementou um sistema de monitoramento on-chain e está colaborando de perto com empresas de análise on-chain globais, plataformas Web2 e autoridades policiais, empenhando-se em rastrear as pegadas on-chain dos atacantes. Zoth comprometeu-se a divulgar um relatório completo após a conclusão da investigação, bem como a lançar simultaneamente o plano de recuperação e reconstrução dos ativos da plataforma.

Reflexão após o acidente:

• Reforçar a gestão de permissões centrais e atualizações de contratos: Este incidente resultou da violação da chave privada do implementador e da execução de uma atualização maliciosa, expondo a grave vulnerabilidade no controle de permissões e nos processos de atualização. Recomenda-se a adoção futura de mecanismos de multi-assinatura, hierarquização de permissões, mecanismos de lista branca para atualizações, bem como a implementação de governança em cadeia ou processos de auditoria de segurança para garantir a segurança das atualizações.
• Estabelecer um sistema de monitoramento em tempo real e de controle de risco automatizado: a rápida transferência de fundos indica uma resposta de monitoramento não oportuna, no futuro deve-se implementar monitoramento de transações em cadeia, sistemas de alerta de ataque e mecanismos de congelamento de ativos, para encurtar a janela de tempo entre a detecção e a resposta a ataques.
• Otimizar a lógica de custódia de ativos e controle de acesso: a chamada ao cofre isolado indica a falta de restrições de permissão de chamada no mecanismo de custódia. Recomenda-se a introdução de restrições de chamada dinâmicas, detecção de comportamentos anormais e mecanismos de verificação de caminho, para garantir que os contratos de ativos críticos tenham múltiplas camadas de proteção contra riscos.
• Mecanismo de resposta de emergência institucionalizada e colaboração entre equipas: Após o incidente, a equipa rapidamente conecta-se com instituições de segurança e unidades de aplicação da lei, publica o progresso e estabelece recompensas, estabilizando efetivamente a situação. Recomenda-se que o processo padrão de resposta a emergências seja formalizado, abrangendo cinco fases: monitorização, notificação, congelamento, investigação e comunicação, e que se mantenha uma transparência contínua para o exterior.

Resumo

Em março de 2025, várias DeFi enfrentaram ataques de vulnerabilidade de segurança, resultando em perdas de dezenas de milhões de dólares em ativos. Dois eventos de segurança típicos no campo DeFi - o ataque de vulnerabilidade do contrato inteligente 1inch e o ataque de elevação de privilégios do Zoth - destacam novamente os riscos sistêmicos, como a herança de contratos antigos, a centralização de privilégios, falhas no mecanismo de atualização e a resposta inadequada à gestão de riscos. Embora a 1inch tenha rapidamente negociado com os atacantes para recuperar a maior parte dos fundos após o incidente, o Zoth também iniciou rapidamente a colaboração entre equipes e preservou 73% dos ativos, mas os dois eventos também mostram que alguns projetos DeFi atuais ainda têm espaço para otimização em aspectos como mecanismos de governança, gestão de privilégios, auditoria de segurança e monitoramento em tempo real.

Esses incidentes de segurança também destacam ainda mais a importância de estabelecer mecanismos de monitoramento on-chain, processos de congelamento automáticos e sistemas de incentivo de “gray hat”. No futuro, se os projetos DeFi quiserem ganhar a confiança contínua dos usuários, devem considerar a segurança como um elemento central do design do sistema desde a fase de projeto, e não como uma medida de remediação posterior. A Gate.io recomenda que os usuários fiquem atentos às dinâmicas de segurança e reforcem a proteção de seus ativos pessoais.
Referência:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Clique linkpara ir imediatamente

Isenção de responsabilidade O investimento no mercado de criptomoedas envolve alto risco, recomenda-se que os usuários realizem pesquisas independentes e compreendam plenamente a natureza dos ativos e produtos que estão a comprar antes de tomar qualquer decisão de investimento. A Gate.io não se responsabiliza por quaisquer perdas ou danos decorrentes de tais decisões de investimento.