Gate науковий інститут: Звіт про безпеку за третій квартал 2025 року

Останній звіт з безпеки в індустрії Web3 від Gate Research Institute, згідно з даними Slowmist, у березні 2025 року сталося 8 випадків безпеки, загальні втрати склали приблизно 14,43 мільйона доларів США. Типи подій різноманітні, при цьому найбільше випадків сталося через злом облікових записів та вразливості контрактів, їх частка становить 62,5%. Звіт містить детальний аналіз ключових подій безпеки, включаючи атаку на вразливість контракту 1inch, вразливість контракту та витік закритого ключа Zoth. Атаки на облікові записи та вразливості контрактів були визначені як основні ризики безпеки цього місяця, що підкреслює необхідність постійного зміцнення заходів безпеки в індустрії.

Резюме

• У березні 2025 року в індустрії Web3 сталося 8 інцидентів безпеки, загальні збитки склали 14,43 мільйона доларів США, що є значним зниженням у порівнянні з попереднім місяцем.
• Цього місяця безпекові інциденти в основному стосувалися вразливостей контрактів, атак на рахунки хакерів тощо, становлячи 62,5% від загальної кількості інцидентів безпеки в криптоіндустрії.
• Основні події цього місяця включають атаку на 1inch через вразливість контракту (втрати 5 мільйонів доларів, 90% вже повернуто), а також дві атаки на Zoth, а саме вразливість контракту та витік Закритого ключа (загальні втрати становлять 8.575 мільйонів доларів).
• З огляду на розподіл безпекових інцидентів по ланцюгах, цього місяця лише один проект зазнав втрат на публічному ланцюгу BSC.

Огляд безпекових подій

Згідно з даними Slowmist, з 1 по 30 березня 2025 року було зафіксовано 8 випадків безпекових інцидентів, загальні втрати склали 14,43 мільйона доларів США. Атаки переважно стосувалися вразливостей в контрактах, хакерських атак на акаунти та інших методів. У порівнянні з лютим 2025 року, загальна сума втрат зменшилася на 99%. Вразливості контрактів та зламані акаунти є основними причинами атак, було зафіксовано 5 відповідних хакерських атак, що становить 62,5% від загальної кількості. Офіційні акаунти X все ще залишаються основною метою хакерів.【1】

!

Цього місяця лише в BSC публічному ланцюгу сталася подія безпеки, проект Four.Meme зазнав втрат понад 180 тисяч доларів, що свідчить про те, що екосистема BSC все ще має простір для постійної оптимізації в аудиті смарт-контрактів, механізмах управління ризиками та моніторингу в ланцюгу.

Цього місяця кілька проектів блокчейн зазнали серйозних інцидентів безпеки, що призвело до значних фінансових втрат. Серед найбільш помітних подій можна відзначити, що платформа стейкінгу RWA Zoth зазнала двох атак: одна через хакерську атаку призвела до втрат у розмірі 8,29 мільйона доларів, а інша через вразливість контракту — до втрат у розмірі 285 тисяч доларів; крім того, агрегатор DEX 1inch також зазнав втрат у розмірі 5 мільйонів доларів через вразливість контракту.

Значні події безпеки в березні

Згідно з офіційними даними, наступні проекти зазнали збитків понад 13,5 мільйонів доларів у березні. Витік закритого ключа та вразливості контрактів є двома основними загрозами.

!

• 1inch зазнала втрат у 5 мільйонів доларів США, зловмисник скористався вразливістю старої версії контракту Fusion v1 1inch, викравши близько 5 мільйонів доларів США USDC та wETH, залучені кошти походять від парсерів, а не від активів користувачів.
• Zoth зазнав двох атак, загальні втрати склали 8,575,000 доларів США. 6 березня через вразливість у розрахунках застави сталося приблизно 285,000 доларів США втрат; 21 березня хакер отримав адміністративні права та оновив контракт до шкідливої версії, вкрадено приблизно 8,290,000 USD0++, які в підсумку були конвертовані в 4,223 ETH.

1 дюйм

Огляд проекту: 1inch є децентралізованим агрегатором обміну, що має на меті підвищити ефективність торгівлі та використання коштів, знаходячи найкращі цінові шляхи для користувачів за допомогою розумних алгоритмів на кількох децентралізованих біржах. Згідно з даними з офіційного сайту, 1inch інтегрував понад 3,2 мільйона джерел ліквідності, загальний обсяг торгів перевищує 596 мільярдів доларів, а кількість користувачів перевищує 21,7 мільйона, виконано понад 134 мільйонів угод.【2]

Огляд події: 1inch 5 березня через вразливість старої версії Fusion v1 контракту зазнав збитків приблизно на 5 мільйонів доларів. Зловмисники скористалися цією вразливістю для викрадення близько 5 мільйонів доларів USDC та wETH, причетні кошти належали парсеру (тобто сутності, яка виконує замовлення від імені користувачів), а не активам кінцевих користувачів. Згідно з розслідуванням, ця вразливість існувала в застарілому смарт-контракті, зловмисники через ретельно спроектовані торгові шляхи викликали відповідні функції, щоб перевести кошти від парсера, тоді як у поточній версії контракту цієї вразливості немає.

Згідно з доповіддю Decurity, команда 1inch провела переговори з хакером після інциденту, більшість вкрадених коштів було повернуто (наразі повернено дев’яносто відсотків), хакер залишив частину як винагороду за вразливість. Цей напад в основному вплинув на старі версії парсерів, які не були вчасно оновлені, активи звичайних користувачів не постраждали безпосередньо, також не було зафіксовано масового виведення коштів користувачів. Цей інцидент підкреслює важливість своєчасного очищення та оновлення старих контрактів.

Роздуми після інциденту:

• Посилення управління старими версіями контрактів та контролю доступу: для застарілих смарт-контрактів (наприклад, Fusion v1) слід вжити заходів щодо їх повного відключення, замороження прав доступу або примусового перенесення, щоб запобігти потенційним уразливостям через збереження сумісності. Одночасно, необхідно вдосконалити логіку контролю доступу, зміцнити перевірку джерела виклику та обмеження прав доступу, щоб запобігти використанню непередбачених шляхів виклику.
• Удосконалення процесу та обсягу аудиту: включити зовнішні модулі, пов’язані з основним контрактом (наприклад, resolver), до офіційного обсягу аудиту, чітко визначити межі ризику кожного компонента. Після рефакторингу структури коду, оновлення мови або зміни інтерфейсу необхідно повторно ініціювати процес аудиту та зберегти записи про ризики старої версії.
• Побудова системи моніторингу в реальному часі та реагування на надзвичайні ситуації: впровадження системи безпеки на блокчейні для миттєвого виявлення аномальної торгової поведінки та створення механізму швидкого реагування (таких як заморожування прав, екстрене спілкування, плани відкату ризиків), щоб зменшити час втрат капіталу.
• Створення позитивного механізму мотивації, що заохочує співпрацю білих хакерів: через систему нагород за вразливості та механізм погодження з сірими хакерами, спрямувати потенційних зловмисників до відповідального повідомлення про загрози безпеці, що допоможе підвищити загальний рівень безпеки проекту.

Зот

Огляд проекту: Zoth – це платформа повторної застави RWA на основі Ethereum, яка через токенізацію активів з’єднує традиційні фінанси та екосистему DeFi. Користувачі можуть заставляти відповідні активи реального світу, отримувати доходи в мережі та брати участь у механізмі повторної застави для підвищення ефективності капіталу. Згідно з даними з офіційного сайту, загальна заблокована вартість Zoth становить 35,4 мільйона доларів, зареєстровані активи досягли 250 мільйонів доларів, що свідчить про те, що вона встановила міцний міст між мережевими та традиційними фінансами, а також продовжує розширювати екосистему повторної застави через співпрацю з кількома видавцями RWA та ліквіднісними протоколами.

Загальна інформація про подію: Zoth зазнав двох серйозних інцидентів безпеки в березні 2025 року, загальні збитки склали приблизно 8,575,000 доларів.

• 6 березня платформа Zoth через недоліки в дизайні логіки застави дозволила хакерам скористатися ненадійним механізмом оцінки заставної вартості в контракті, що призвело до можливості виведення надмірних коштів без необхідності виконання фактичного співвідношення застави. Атакуючі кілька разів викликали відповідні функції, обійшовши логіку перевірки застави, і успішно вивели близько 285 тисяч доларів активів. Цей інцидент виявив недоліки в оцінці активів, встановленні співвідношення застави та перевірці граничних умов всередині контракту.
• 21 березня Zoth знову стала жертвою атаки з високим рівнем умислу. Зловмисник, після численних невдалих спроб, успішно отримав контроль над рахунком розробника і за допомогою шкідливого проксі-контракту оновив, замінивши основну логіку протоколу на шкідливу версію, що дозволяє виконувати несанкціоновані дії. Зловмисник використав це, щоб витягти активи USD0++ з ізольованого трезору, в сумі вкрадено близько 8,45 мільйона USD0++, які швидко обміняли на DAI, а потім на 4223 ETH, що становить близько 8,29 мільйона доларів.

Після інциденту команда Zoth негайно запустила механізм надзвичайної реакції, об’єднавшись з блокчейн-безпековою установою Crystal Blockchain BV для проведення розслідування, і спільно з партнером Asset Issuer захистила приблизно 73% TVL платформи. Крім того, команда Zoth опублікувала відкриту заяву про створення програми винагороди за вразливості на суму 500 тисяч доларів США, щоб стимулювати надання ефективних підказок для повернення коштів.

Станом на 31 березня, кошти зловмисників ще не були масово переміщені, в основному вони зосереджені на двох адресах гаманців (всього 4,223 ETH). Команда вже розгорнула систему моніторингу на блокчейні та тісно співпрацює з глобальними компаніями з аналізу блокчейну, Web2 платформами та правоохоронними органами, щоб повністю відстежити сліди зловмисників. Zoth пообіцяв опублікувати повний звіт по розслідуванню після його завершення та одночасно випустити план відновлення та повернення активів платформи.

Роздуми після інциденту:

• Посилення управління ключовими правами та оновленнями контрактів: цей інцидент стався через те, що закритий ключ розробника був зламаний і виконано зловмисне оновлення, що виявило серйозні ризики в контролі прав та процесу оновлення. Рекомендується в майбутньому використовувати механізм мультипідпису, ієрархію прав, механізм білого списку для оновлень, а також створити процеси управління на ланцюзі або безпекового аудиту для забезпечення безпеки оновлень.
• Створення системи моніторингу в реальному часі та автоматизованої системи управління ризиками: швидке виведення коштів вказує на те, що моніторинг не реагує вчасно, у майбутньому слід впровадити моніторинг транзакцій на блокчейні, систему попередження про атаки та механізм заморожування активів, щоб скоротити вікно часу для виявлення атак та реагування.
• Оптимізація логіки управління активами та контролю доступу: ізоляція сховища вказує на відсутність обмежень доступу до механізму управління, рекомендується впровадження динамічних обмежень викликів, виявлення аномальної поведінки та механізму перевірки шляхів, щоб забезпечити наявність множинних заходів захисту ключових контрактів активів.
• Інституціоналізоване реагування на надзвичайні ситуації та механізм співпраці між командами: Після інциденту команда швидко зв’язалася з органами безпеки та правоохоронними органами, оголосила про прогрес та встановила винагороди для ефективної стабілізації ситуації. Рекомендується, щоб стандарти реагування на надзвичайні ситуації були спрощені, охоплюючи п’ять етапів моніторингу, оповіщення, заморожування, розслідування та комунікації, і продовжували бути відкритими та прозорими для зовнішнього світу.

Підсумок

У березні 2025 року кілька DeFi зазнали атак через вразливості безпеки, в результаті чого було втрачено десятки мільйонів доларів активів. Два типових випадки безпеки в сфері DeFi — атака на вразливість смарт-контракту 1inch та атака підвищення прав доступу Zoth — знову підкреслюють системні ризики, такі як залишки старих контрактів, централізація основних прав, дефекти механізму оновлення та недостатня реакція на ризики. Незважаючи на те, що 1inch швидко домовився з атакуючими та повернув більшість коштів після інциденту, а Zoth також швидко ініціював міжкомандну співпрацю та зберіг 73% активів, обидва випадки показують, що поточні деякі DeFi проєкти все ще мають простір для подальшої оптимізації в таких аспектах, як механізм управління, управління правами доступу, безпековий аудит та моніторинг в реальному часі.

Ці кілька випадків безпеки також підкреслюють важливість створення механізму моніторингу в ланцюгу, автоматичних процесів замороження та системи стимулювання сірих капелюхів. У майбутньому, якщо проекти DeFi хочуть отримати постійну довіру користувачів, безпеку потрібно розглядати як ключовий елемент системного дизайну з самого початку, а не як заходи, що вживаються за фактом. Gate.io нагадує користувачам звертати увагу на динаміку безпеки та посилювати захист своїх активів.
Джерела:

1. Slowmist,https://hacked.slowmist.io/
2. 1 дюйм,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,[https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9](https://blog.decurity. io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9)
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Натисніть 链接щоб перейти зараз

Застереження Інвестиції в ринок криптовалют пов’язані з високими ризиками, рекомендується користувачам проводити незалежні дослідження та повністю розуміти природу активів і продуктів, які вони купують, перш ніж приймати будь-які інвестиційні рішення. Gate.io не несе відповідальності за будь-які збитки або шкоду, що виникають внаслідок таких інвестиційних рішень.