Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, MasterCard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
Phần thưởng

Gate 研究院:Tóm tắt sự kiện an ninh quý 3 năm 2025

GateResearch
1INCH-0,59%

Gate nghiên cứu viện báo cáo an toàn ngành Web3 mới nhất, theo dữ liệu từ Slowmist, vào tháng 3 năm 2025, đã xảy ra 8 sự kiện an toàn, tổng thiệt hại khoảng 1,443 triệu USD. Các loại sự kiện rất đa dạng, trong đó sự kiện do tài khoản bị hack và lỗ hổng hợp đồng gây ra chiếm số lượng nhiều nhất, chiếm 62,5%. Báo cáo đã phân tích chi tiết các sự kiện an toàn quan trọng, bao gồm 1inch gặp tấn công lỗ hổng hợp đồng, Zoth gặp lỗ hổng hợp đồng và tiết lộ khóa riêng. Tấn công hacker tài khoản và lỗ hổng hợp đồng được xác định là rủi ro an toàn chính trong tháng này, nhấn mạnh sự cần thiết phải tăng cường các biện pháp an toàn trong ngành.

Tóm tắt

  • Vào tháng 3 năm 2025, ngành Web3 đã xảy ra 8 sự kiện an ninh, tổng thiệt hại là 14,43 triệu đô la, giảm mạnh so với tháng trước.
  • Các sự kiện an ninh trong tháng này chủ yếu liên quan đến lỗ hổng hợp đồng, tài khoản bị hacker tấn công, chiếm 62,5% tổng số sự kiện an ninh trong ngành tiền điện tử.
  • Các sự kiện quan trọng trong tháng này bao gồm việc 1inch gặp phải tấn công lỗ hổng hợp đồng (thiệt hại 5 triệu USD, đã phục hồi 90%), Zoth gặp phải hai cuộc tấn công, lần lượt là lỗ hổng hợp đồng và Khóa riêng bị rò rỉ (tổng thiệt hại đạt 8.575 triệu USD).
  • Xét về sự phân bố sự kiện an ninh trên các chuỗi, trong tháng này chỉ có một dự án bị mất mát xảy ra trên chuỗi công cộng BSC.

Tóm tắt sự kiện an ninh

Theo dữ liệu từ Slowmist, tính đến ngày 1 tháng 3 năm 2025 đến ngày 30 tháng 3 năm 2025, đã ghi nhận 8 vụ sự cố an ninh, tổng thiệt hại là 14.43 triệu USD. Các cuộc tấn công chủ yếu liên quan đến lỗ hổng hợp đồng, tấn công tài khoản và các phương pháp khác. So với tháng 2 năm 2025, tổng số thiệt hại đã giảm 99%. Lỗ hổng hợp đồng và tài khoản bị hack là nguyên nhân chính của các cuộc tấn công, với 5 vụ tấn công hacker liên quan, chiếm 62.5% tổng số. Tài khoản X chính thức vẫn là mục tiêu chính của hacker.

Trong tháng này chỉ có chuỗi công khai BSC xảy ra sự cố an ninh, dự án Four.Meme mất hơn 180.000 USD, cho thấy hệ sinh thái BSC vẫn còn nhiều không gian để tối ưu hóa liên tục trong kiểm toán hợp đồng thông minh, cơ chế quản lý rủi ro và giám sát trên chuỗi.

Trong tháng này, nhiều dự án blockchain đã gặp phải sự cố an ninh nghiêm trọng, gây ra tổn thất tài chính lớn. Trong số đó, các sự kiện nổi bật bao gồm nền tảng staking RWA Zoth bị tấn công hai lần liên tiếp, lần đầu do hacker tấn công gây thiệt hại 8,29 triệu USD, lần thứ hai do lỗ hổng hợp đồng gây thiệt hại 285.000 USD; ngoài ra, DEX aggregator 1inch cũng bị thiệt hại 5 triệu USD do lỗ hổng hợp đồng.

Sự kiện an ninh đáng chú ý trong tháng Ba

Theo thông báo chính thức, các dự án sau đây đã chịu tổn thất hơn 13,5 triệu đô la trong tháng Ba. Khóa riêng bị rò rỉ và lỗ hổng hợp đồng là hai mối đe dọa chính.

  • 1inch gặp phải tổn thất 5 triệu USD, kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng Fusion v1 cũ của 1inch, đánh cắp khoảng 5 triệu USD USDC và wETH, số tiền liên quan đến từ bộ phân tích chứ không phải tài sản của người dùng.
  • Zoth đã bị tấn công hai lần, tổng thiệt hại lên tới 8.575 triệu USD, vào ngày 6 tháng 3, do lỗ hổng trong tính toán thế chấp gây thiệt hại khoảng 285.000 USD; vào ngày 21 tháng 3, hacker đã có được quyền quản trị để nâng cấp hợp đồng thành phiên bản độc hại, đánh cắp khoảng 8.290.000 USD0++, cuối cùng chuyển đổi thành 4.223 ETH.

1inch

Tổng quan dự án: 1inch là một trình tổng hợp giao dịch phi tập trung, nhằm tìm kiếm con đường giá tối ưu cho người dùng thông qua các thuật toán thông minh trên nhiều sàn giao dịch phi tập trung, từ đó nâng cao hiệu quả giao dịch và sử dụng vốn. Theo dữ liệu từ trang web chính thức, 1inch đã tích hợp hơn 3,2 triệu nguồn thanh khoản, tổng giá trị giao dịch tích lũy vượt quá 596 tỷ USD, có hơn 21,7 triệu người dùng và thực hiện hơn 134 triệu giao dịch.【2】

Sự kiện tổng quan: 1inch đã mất khoảng 5 triệu đô la vào ngày 5 tháng 3 do lỗ hổng trong hợp đồng Fusion v1 phiên bản cũ. Tin tặc đã lợi dụng lỗ hổng này để đánh cắp khoảng 5 triệu đô la USDC và wETH, số tiền liên quan thuộc về bộ phân tích (tức là thực thể đại diện cho người dùng thực hiện đơn hàng), không phải là tài sản của người dùng cuối. Theo cuộc điều tra sau đó, lỗ hổng này tồn tại trong hợp đồng thông minh đã lỗi thời, tin tặc đã chuyển tiền từ bộ phân tích thông qua các đường dẫn giao dịch được xây dựng tinh vi, trong khi phiên bản hợp đồng hiện tại không có lỗ hổng này.

Theo báo cáo sau sự cố của Decurity, đội ngũ 1inch đã tiến hành thương thảo với hacker sau khi sự việc xảy ra, phần lớn số tiền bị đánh cắp đã được hoàn trả (hiện đã thu hồi được chín phần mười), hacker giữ lại một phần làm tiền thưởng cho lỗ hổng. Cuộc tấn công này chủ yếu ảnh hưởng đến các trình phân giải phiên bản cũ chưa được nâng cấp kịp thời, tài sản của người dùng thông thường không bị ảnh hưởng trực tiếp, cũng không xảy ra tình trạng rút tiền ồ ạt của người dùng. Sự kiện này làm nổi bật tầm quan trọng của việc dọn dẹp và nâng cấp kịp thời các hợp đồng phiên bản cũ.

Suy ngẫm sau tai nạn:

  • Tăng cường quản lý hợp đồng cũ và kiểm soát quyền hạn: Đối với các hợp đồng thông minh đã bị ngừng sử dụng (như Fusion v1), cần thực hiện các biện pháp ngừng hoàn toàn, đóng băng quyền hạn hoặc di chuyển bắt buộc, nhằm ngăn chặn các mặt tấn công tiềm ẩn do việc giữ lại tính tương thích. Đồng thời, hoàn thiện logic kiểm soát truy cập, tăng cường xác thực nguồn gọi và giới hạn quyền hạn, ngăn chặn việc lợi dụng các đường dẫn gọi không mong muốn.
  • Hoàn thiện quy trình và phạm vi kiểm toán: Đưa các mô-đun ngoại vi liên quan đến hợp đồng cốt lõi (như resolver) vào phạm vi kiểm toán chính thức, làm rõ ranh giới rủi ro của từng thành phần. Sau khi tái cấu trúc mã, nâng cấp ngôn ngữ hoặc thay đổi giao diện, phải kích hoạt lại quy trình kiểm toán và giữ lại hồ sơ kiểm soát rủi ro của các phiên bản cũ.
  • Xây dựng hệ thống giám sát thời gian thực và phản ứng khẩn cấp: Triển khai hệ thống giám sát an toàn trên chuỗi, nhanh chóng phát hiện hành vi giao dịch bất thường và thiết lập cơ chế phản ứng nhanh (như đóng băng quyền hạn, giao tiếp khẩn cấp, kế hoạch quay lại kiểm soát rủi ro), giảm thiểu khoảng thời gian mất mát tài chính.
  • Thiết lập cơ chế khuyến khích tích cực, khuyến khích sự hợp tác của hacker mũ trắng: Thông qua hệ thống thưởng cho lỗ hổng và cơ chế đàm phán với hacker mũ xám, hướng dẫn các kẻ tấn công tiềm năng báo cáo các rủi ro an ninh một cách có trách nhiệm, giúp nâng cao mức độ bảo vệ an toàn tổng thể của dự án.

Zoth

Tổng quan dự án: Zoth là một nền tảng tái thế chấp RWA dựa trên Ethereum, kết nối tài chính truyền thống và hệ sinh thái DeFi thông qua việc mã hóa tài sản. Người dùng có thể thế chấp tài sản thế giới thực hợp pháp, nhận lợi nhuận trên chuỗi và tham gia vào cơ chế tái thế chấp để nâng cao hiệu quả vốn. Theo dữ liệu trên trang web, tổng giá trị khóa của Zoth đạt 35,4 triệu đô la, tài sản đã đăng ký đạt 250 triệu đô la, cho thấy nó đã thiết lập một cây cầu vững chắc giữa tài chính trên chuỗi và truyền thống, và tiếp tục mở rộng hệ sinh thái tái thế chấp thông qua việc hợp tác với nhiều nhà phát hành RWA và các giao thức thanh khoản.

Sự kiện tổng quan: Zoth đã gặp phải hai sự kiện an ninh nghiêm trọng vào tháng 3 năm 2025, tổng thiệt hại khoảng 8.575.000 đô la.

  • Ngày 6 tháng 3, nền tảng Zoth do có thiết kế lỗi trong logic thế chấp, đã khiến hacker có thể lợi dụng cơ chế đánh giá không chính xác trong hợp đồng về việc tính toán giá trị thế chấp, cho phép rút tiền vượt mức mà không cần đáp ứng tỷ lệ thế chấp thực tế. Kẻ tấn công đã nhiều lần gọi các hàm liên quan, bỏ qua logic kiểm tra thế chấp, thành công rút khoảng 285.000 USD tài sản. Sự kiện này đã lộ ra sự thiếu sót trong việc đánh giá tài sản, thiết lập tỷ lệ thế chấp và kiểm tra điều kiện biên trong hợp đồng.
  • Vào ngày 21 tháng 3, Zoth đã xảy ra một sự kiện tấn công có tính chất tiền định cao một lần nữa. Kẻ tấn công, sau nhiều lần thử nghiệm thất bại, đã thành công trong việc kiểm soát tài khoản của người triển khai, và thông qua hợp đồng đại lý độc hại nâng cấp, đã thay thế logic cốt lõi của giao thức bằng một phiên bản độc hại có thể thực hiện các thao tác không được ủy quyền. Kẻ tấn công đã lợi dụng điều này để rút các tài sản USD0++ thế chấp trong kho lưu trữ cách ly, tổng cộng đánh cắp khoảng 8,45 triệu USD0++, và nhanh chóng đổi lấy DAI sau đó chuyển thành 4.223 ETH, tương đương khoảng 8,29 triệu đô la.

Sau khi sự việc xảy ra, đội ngũ Zoth đã ngay lập tức khởi động cơ chế ứng phó khẩn cấp, hợp tác với tổ chức an ninh blockchain Crystal Blockchain BV để tiến hành điều tra, và phối hợp với các đối tác phát hành tài sản để bảo vệ khoảng 73% TVL của nền tảng. Ngoài ra, đội ngũ Zoth đã phát hành một tuyên bố công khai, thiết lập chương trình thưởng lỗ hổng trị giá 500.000 USD để khuyến khích các manh mối hiệu quả giúp thu hồi lại tài sản.

Tính đến ngày 31 tháng 3, các quỹ của kẻ tấn công vẫn chưa được di chuyển quy mô lớn, chủ yếu tập trung vào hai địa chỉ ví (tổng cộng 4,223 ETH). Nhóm đã triển khai hệ thống giám sát trên chuỗi và hợp tác chặt chẽ với các công ty phân tích chuỗi toàn cầu, nền tảng Web2 và các cơ quan thực thi pháp luật, nỗ lực theo dõi dấu vết trên chuỗi của kẻ tấn công. Zoth cam kết sẽ công bố báo cáo tổng kết đầy đủ sau khi cuộc điều tra kết thúc, đồng thời phát hành kế hoạch khôi phục và tái thiết tài sản của nền tảng.

Suy ngẫm sau tai nạn:

  • Tăng cường quyền hạn cốt lõi và quản lý nâng cấp hợp đồng: Sự kiện này xuất phát từ việc khóa riêng của người triển khai bị tấn công và thực hiện nâng cấp độc hại, làm lộ ra những rủi ro nghiêm trọng trong kiểm soát quyền hạn và quy trình nâng cấp. Đề xuất trong tương lai nên áp dụng cơ chế đa chữ ký, phân tầng quyền hạn, cơ chế danh sách trắng nâng cấp, và thiết lập quy trình quản trị trên chuỗi hoặc kiểm toán an toàn để đảm bảo an toàn trong nâng cấp.
  • Thiết lập hệ thống giám sát thời gian thực và kiểm soát rủi ro tự động: Việc tiền bị chuyển ra nhanh chóng cho thấy phản ứng giám sát không kịp thời, trong tương lai nên triển khai giám sát giao dịch trên chuỗi, hệ thống cảnh báo tấn công và cơ chế đóng băng tài sản, nhằm rút ngắn khoảng thời gian phát hiện và phản ứng với tấn công.
  • Tối ưu hóa logic quản lý tài sản và kiểm soát truy cập: Việc kho bạc bị gọi cho thấy cơ chế quản lý thiếu sự hạn chế quyền gọi, đề xuất nên đưa vào hạn chế gọi động, phát hiện hành vi bất thường và cơ chế kiểm tra đường đi, đảm bảo hợp đồng tài sản quan trọng có nhiều biện pháp bảo vệ rủi ro.
  • Cơ chế phản ứng khẩn cấp được hệ thống hóa và hợp tác liên đội: Sau sự kiện, đội ngũ nhanh chóng liên hệ với các cơ quan an ninh và đơn vị thực thi pháp luật, công bố tiến độ và thiết lập tiền thưởng, hiệu quả ổn định tình hình. Đề xuất quy chuẩn hóa quy trình phản ứng khẩn cấp, bao gồm năm giai đoạn: giám sát, thông báo, đóng băng, điều tra và giao tiếp, và tiếp tục công khai minh bạch ra bên ngoài.

Tóm tắt

Vào tháng 3 năm 2025, nhiều DeFi đã遭 phải các cuộc tấn công lỗ hổng bảo mật, tổng thiệt hại lên tới hàng chục triệu đô la tài sản. Hai sự kiện an ninh điển hình trong lĩnh vực DeFi - cuộc tấn công lỗ hổng hợp đồng thông minh 1inch và cuộc tấn công nâng cấp quyền Zoth, một lần nữa làm nổi bật những rủi ro hệ thống như di sản hợp đồng cũ, quyền lực tập trung, thiếu sót trong cơ chế nâng cấp và phản ứng quản lý rủi ro không đủ. Mặc dù 1inch đã nhanh chóng thương lượng với hacker để thu hồi phần lớn tài sản sau sự kiện, Zoth cũng đã nhanh chóng khởi động hợp tác giữa các nhóm và bảo toàn 73% tài sản, nhưng hai sự kiện này cũng cho thấy hiện tại một số dự án DeFi vẫn còn không gian để tối ưu hóa hơn nữa về cơ chế quản trị, quản lý quyền hạn, kiểm toán bảo mật và giám sát thời gian thực.

Những sự kiện an ninh gần đây cũng nhấn mạnh tầm quan trọng của việc thiết lập cơ chế giám sát trên chuỗi, quy trình tự động đóng băng và hệ thống khuyến khích mũ xám. Trong tương lai, nếu các dự án DeFi muốn nhận được sự tin tưởng liên tục từ người dùng, họ phải xem an ninh như một yếu tố cốt lõi trong thiết kế hệ thống ngay từ giai đoạn đầu, chứ không phải là biện pháp khắc phục sau này. Gate.io nhắc nhở người dùng chú ý đến các động thái an ninh và tăng cường bảo vệ tài sản cá nhân.
Tài nguyên:

  1. Slowmist,https://hacked.slowmist.io/
  2. 1inch,https://1inch.io/
  3. X,https://x.com/SlowMist_Team/status/1897958914114879656
  4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
  5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
  6. Zoth,https://zoth.io/
  7. X,https://x.com/zothdotio/status/1906343855181701342
  8. X,https://x.com/CyversAlerts/status/1903021017460600885
  9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

**Gate Viện Nghiên Cứu** Gate Viện Nghiên cứu là một nền tảng nghiên cứu toàn diện về blockchain và tiền điện tử, cung cấp cho người đọc nội dung sâu sắc, bao gồm phân tích kỹ thuật, cái nhìn nóng, đánh giá thị trường, nghiên cứu ngành, dự đoán xu hướng và phân tích chính sách kinh tế vĩ mô.

Nhấp vào 链接 để đến ngay lập tức

Tuyên bố từ chối trách nhiệm Đầu tư vào thị trường tiền điện tử có liên quan đến rủi ro cao, người dùng được khuyến nghị thực hiện nghiên cứu độc lập và hiểu rõ bản chất của tài sản và sản phẩm được mua trước khi đưa ra bất kỳ quyết định đầu tư nào. Gate.io không chịu trách nhiệm cho bất kỳ tổn thất hoặc thiệt hại nào phát sinh từ các quyết định đầu tư như vậy.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
GateUser-89ecb1c0vip
· 2025-04-09 16:30
1000x Vibes 🤑
Trả lời0
Mogcoin_vip
· 2025-04-07 09:42
1000x Vibes 🤑
Trả lời0
April,PalmPrintsOfTivip
· 2025-04-07 09:22
快nhập một vị thế!🚗
Xem bản gốcTrả lời0
April,PalmPrintsOfTivip
· 2025-04-07 09:22
Kiên định HODL💎
Xem bản gốcTrả lời0
CoinFusionvip
· 2025-04-07 07:10
thú vị nk có một đội ngũ tội phạm khá
Xem bản gốcTrả lời0
GateUser-55bf7b34vip
· 2025-04-07 06:55
Hết 💪 rồi
Xem bản gốcTrả lời0
GariManu4vip
· 2025-04-07 05:21
Gần đây, tin tức thường chỉ viết về những tổn thất.
Xem bản gốcTrả lời0
GateUser-0c144a77vip
· 2025-04-07 05:20
Mua để kiếm tiền 💎
Xem bản gốcTrả lời0