Останній звіт з безпеки промисловості Web3 від Gate Research, на основі даних від SlowMist, зафіксував восьме випадки безпеки в березні 2025 року, що призвели до загальних втрат приблизно в розмірі 14,43 мільйонів доларів. Випадки варіювалися за типом, причому взломи облікових записів та вразливості розумних контрактів складали більшість, 62,5% від загальної суми. Звіт надає детальний аналіз ключових подій, включаючи атаку на вразливість розумного контракту на 1inch та подію Zoth, пов'язану з недоліками контракту та витоком приватного ключа. Взломи облікових записів та вразливості контрактів були визначені як основні загрози безпеці протягом місяця, що підкреслює постійну потребу в посиленні заходів безпеки в цій галузі.

Абстрактний

• У березні 2025 року промисловість Web3 зазнала восьми випадків порушення безпеки, що призвело до загальних збитків у розмірі $14.43 мільйона - значного зменшення порівняно з попереднім місяцем.
• Більшість цих інцидентів включали методи атак, такі як вразливості смарт-контрактів та порушення облікових записів, які разом становили 62,5% усіх випадків безпеки в криптовалютній індустрії.
• Найбільші події цього місяця включали в себе використання уразливості розумного контракту для атаки на 1inch (що призвело до збитків у розмірі $5 мільйонів, з яких відновлено 90%) та дві окремі атаки на Zoth — одна за участі уразливості контракту, а інша — витік приватного ключа — що призвели до загальних втрат у розмірі $8.575 мільйона.
• Щодо дистрибуції блокчейну, лише один проєкт зазнав збитків на громадському ланцюгу BSC цього місяця.

Огляд події з безпеки

Згідно з даними від SlowMist, між 1 березня та 30 березня 2025 року було зафіксовано вісім випадків порушення безпеки, що призвели до загальних втрат приблизно 14,43 мільйонів доларів. Атаки в основному включали уразливості смарт-контрактів, компрометацію облікових записів та інші методи експлойтації. В порівнянні з лютим 2025 року загальні втрати зменшилися на 99% місяць-на-місяць. Дефекти смарт-контрактів та вкрадені облікові записи були провідними причинами цих атак, п'ять таких випадків становили 62,5%. Офіційні облікові записи X (раніше Twitter) залишаються ключовими цілями для хакерів.

У цьому місяці єдиний випадок порушення безпеки на громадському блокчейні стався на BSC, де Four.meme зазнав збитків понад 180 000 доларів. Це підкреслює потребу у постійних вдосконаленнях в аудиті смарт-контрактів, механізмах контролю за ризиками та моніторингу на ланцюжку всередині екосистеми BSC.

Кілька проектів блокчейну стикнулися з серйозними порушеннями безпеки цього місяця, що призвело до значних фінансових збитків. Один з найбільш помітних - платформа стейкінгу RWA Zoth, яка зазнала двох окремих атак: одна пов'язана з взломом, що призвело до збитків у розмірі 8,29 мільйона доларів, і інша через уразливість в розумному контракті, що призвела до збитків у розмірі 285 000 доларів. Крім того, DEX-агрегатор 1inch втратив 5 мільйонів доларів через уразливість контракту.

Важливі події з безпеки в березні

Згідно з офіційними розкриттями, в березні було заявлено про збитки понад 13,5 мільйона доларів внаслідок серйозних порушень безпеки. Основними загрозами були витоки приватних ключів та вразливості розумних контрактів.

• Зловмисники використали вразливість у застарілому контракті Fusion v1, викравши приблизно 5 мільйонів доларів у USDC та wETH. Гроші були взяті з резольверів, а не безпосередньо з гаманців кінцевих користувачів.
• Платформа стейкінгу RWA Zoth зазнала двох інцидентів з безпеки у березні: 6 березня недолік в розрахунку застави призвів до втрати приблизно 285 000 доларів; 21 березня хакер отримав права адміністратора і оновив контракт до зловмисної версії, вкравши приблизно 8,29 мільйона доларів США0++, які в кінцевому підсумку були конвертовані в 4 223 ETH.

1inch

Огляд проекту: 1inch є децентралізованим агрегатором обміну (DEX), який використовує розумні алгоритми для визначення оптимальних торгових маршрутів через кілька DEX, покращуючи ефективність торгівлі та використання капіталу. За офіційним веб-сайтом, 1inch інтегрував понад 3,2 мільйона джерел ліквідності, обслужив понад $596 мільярда обсягу кумулятивних угод та обслужив понад 21,7 мільйона користувачів через понад 134 мільйонів транзакцій.

Огляд події:

5 березня вразливість у застарілому розумному контракті Fusion v1 призвела до втрати приблизно 5 мільйонів доларів. Атакувальник створив зловмисний шлях транзакції для експлуатації застарілого контракту і витягнув кошти—зокрема, USDC та wETH—з резолюторів, а не з окремих користувачів. Післяінцидентні розслідування показали, що вразливість існувала лише в застарілих розумних контрактах. Шляхом створення конкретного шляху транзакції атакувальник викликав функції, що передавали кошти з резолютора. Поточна версія угоди не містить цієї вразливості.

Згідно з аналізом післяінцидентної ситуації від Decurity, команда 1inch увійшла в переговори з атакувальником. На даний момент близько 90% вкрадених коштів було відновлено, а решта залишилася у атакувальника як винагорода за виявлення помилки. Атака в основному вплинула на застарілі резольвери, які не були оновлені. Прямі активи користувачів не були пошкоджені, і значного витоку коштів з гаманців користувачів не було виявлено. Цей інцидент підкреслив критичну необхідність вчасно відмовлятися від застарілих контрактів та оновлювати їх.

Рекомендації після інциденту:

• Посиліть управління спадщиною контрактів та контролю доступу: Застарілі розумні контракти (наприклад, Fusion v1) повинні бути повністю відключені, заморожені дозволи або примусово мігровані, щоб усунути потенційні площини атак, залишені для сумісності з попередніми версіями. Логіка контролю доступу також повинна бути покращена шляхом перевірки джерел виклику та накладання більш суворих перевірок дозволів для запобігання експлуатації через непередбачені шляхи виклику.
• Покращення процесів та охоплення аудиту: Периферійні модулі, пов'язані з основними контрактами (наприклад, розв'язувачі), повинні бути включені в формальні обсяги аудиту з чітко визначеними межами ризику для кожного компонента. Будь-яке структурне перепланування, оновлення мови або зміни інтерфейсу повинні спровокувати повторний аудитинг, а історичні оцінки ризику для старих версій повинні зберігатися.
• Побудуйте системи моніторингу в реальному часі та системи реагування на екстрені випадки: Системи моніторингу безпеки на ланцюжку блоків повинні бути впроваджені для виявлення в реальному часі аномальної поведінки транзакцій. Механізм швидкого реагування - такий як заморожування дозволів, канали екстреного зв'язку та стратегії відкочування - має бути встановлений для мінімізації вікна часу для втрати активів.
• Створення механізмів стимулювання для підтримки співпраці з білими шапками: програми винагород за виявлення помилок та угоди про відповідальне розголошення з середніми хакерами можуть стимулювати етичну звітність про вразливості, сприяючи загальному зміцненню безпеки проєкту.

Zoth

Огляд проекту: Zoth — це платформа для стейкінгу RWA на основі Ethereum, яка поєднує традиційні фінанси та екосистему DeFi за допомогою токенізації активів. Це дозволяє користувачам здійснювати стейкінг сумісних реальних активів, щоб отримувати прибутки в ланцюжку та брати участь у механізмах перестейкінгу для більшої ефективності капіталу. Згідно з його офіційним веб-сайтом, загальна заблокована вартість (TVL) Zoth становить 35,4 мільйона доларів США та понад 250 мільйонів доларів США у зареєстрованих активах, що свідчить про його сильну присутність на перетині ончейн та традиційних фінансових систем. Платформа продовжує розширювати свою екосистему стейкінгу за рахунок партнерства з емітентами RWA та протоколів ліквідності. [6]

Огляд події:

У березні 2025 року Zoth відчув дві серйозні порушення безпеки, що призвели до загальних втрат приблизно 8,575 мільйонів доларів.

• 6 березня: Дефект в логіці застави Zoth дозволив атакувальникам використовувати неточні обчислення в процесі оцінки застави контракту. Атакувальник обійшов перевірки на підтвердження застави, повторно викликаючи конкретні функції та видобуваючи приблизно 285 000 доларів зайвих коштів. Цей інцидент виявив слабкості в тому, як контракт обробляв оцінку активів, пороги відношення застави та граничні умови.
• 21 березня: Зот знову став мішенню під час добре скоординованої та навмисної атаки. Після кількох невдалих спроб зловмисник успішно отримав контроль над обліковим записом розгортача та використав його для оновлення протоколу через проксі-контракт до шкідливої версії. Це оновлення дало зловмиснику повний контроль над логікою контракту, дозволивши йому спустошувати ізольовані сховища, що містять забезпечені токени USD0++. Зловмисник вкрав приблизно 845 мільйонів USD0++, які вони швидко обміняли на DAI та конвертували в 4 223 ETH, що еквівалентно приблизно 8,29 мільйонам доларів.

Після інцидентів команда Zoth негайно активувала свій протокол реагування на надзвичайні ситуації та уклала партнерство з фірмою з блокчейн-безпеки Crystal Blockchain BV для проведення розслідування. Вони також тісно співпрацювали з партнерами, що випускають активи, для забезпечення приблизно 73% TVL платформи. У публічному заявленні Zoth оголосив програму винагороди за помилки у розмірі 500 000 доларів, щоб стимулювати інформацію, яка могла б допомогти відновити вкрадені кошти.

На 31 березня вкрадені активи залишаються в основному нерухомими і сконцентрованими в двох адресах гаманця (володіючи загальною кількістю 4 223 ETH). Команда впровадила системи моніторингу on-chain та співпрацює з глобальними фірмами аналізу блокчейну, платформами Web2 та правоохоронними органами для відстеження рухів нападника. Zoth зобов'язаний опублікувати повний звіт післясмертного і дореструкційний план відновлення, як тільки розслідування буде завершено.[7][8][9]

Рекомендації після інциденту:

• Посиліть основні привілеї та оновіть управління: Цей інцидент виник через компрометацію приватного ключа розгортання, що дозволило зловмисному оновленню контракту — виявлення критичних слабкостей у контролі привілеїв та процесі оновлення. На майбутнє рекомендується прийняти багато-підписні гаманці, впровадити шарові дозволи на доступ, встановити механізми білого списку оновлень та забезпечити процедури управління на ланцюжку або процедури аудиту безпеки для забезпечення безпеки оновлень.
• Здійснення моніторингу в реальному часі та автоматизовані контрольні заходи: швидкий вивід коштів свідчив про відсутність своєчасного виявлення. Платформа повинна використовувати моніторинг транзакцій в реальному часі, системи попередження про атаки та механізми заморожування активів на ланцюжку, щоб зменшити вікно реагування на майбутні атаки.
• Покращення зберігання активів та логіки контролю доступу: Успішний вивід з ізольованих сховищ свідчить про недостатність контролю доступу в механізмі зберігання. Для забезпечення захисту ключових активів контрактами за допомогою кількох рівнів контролю ризику, обмежень на динамічні виклики, виявлення аномальної поведінки та перевірки шляху транзакції слід ввести.
• Інституціоналізувати реагування на надзвичайні ситуації та міжкомандну співпрацю: Команда швидко відреагувала, координуючись з фірмами забезпечення безпеки та правоохоронними органами, випускаючи оновлення про хід робіт та запускаючи програму винагород—ефективно стабілізуючи ситуацію. Для майбутніх інцидентів слід прийняти стандартизований протокол реагування на надзвичайні ситуації, який охоплює п'ять ключових етапів: моніторинг, сповіщення, замороження, розслідування та спілкування, з обіцянкою постійної прозорості.

Огляд

У березні 2025 року кілька DeFi-проєктів зазнали порушень безпеки, що призвело до збитків на десятки мільйонів доларів. Два помітні інциденти — експлойт вразливості смарт-контрактів на 1inch і атака ескалації привілеїв на Zoth — знову підкреслили системні ризики, такі як вразливість застарілих контрактів, централізовані привілеї адміністратора, недосконалі механізми оновлення та недостатня структура реагування на ризики. У той час як 1inch вдалося повернути більшу частину вкрадених коштів шляхом швидких переговорів зі зловмисником, а Zoth діяв швидко, щоб ініціювати співпрацю між командами та захистити 73% своїх активів, обидва випадки виявили сфери для вдосконалення структур управління, контролю доступу, аудиту безпеки та моніторингу в режимі реального часу в багатьох протоколах DeFi.

Ці події підкреслюють важливість впровадження систем моніторингу on-chain, автоматизованих механізмів заморожування активів та стимулюючих структур для відкриття серого хакерського дискурсу. Для проектів DeFi збереження довгострокового довіри користувачів безпека повинна розглядатися як фундаментальний елемент дизайну від самого початку, а не як додаткова думка. Gate.io нагадує користувачам бути в курсі подій у сфері безпеки та активно захищати свої особисті активи.


Джерела:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Декюріті,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Дослідження Gate
Gate Дослідження - це всеосяжна платформа для дослідження блокчейну та криптовалют, яка надає глибокий контент. Це включає технічний аналіз, гарячі тематичні висновки, огляд ринку, дослідження галузей, прогнози тенденцій та аналіз макроекономічної політики.

Клацнітьтутвідвідати зараз

Відмова від відповідальності
Інвестування на криптовалютному ринку пов'язано з високим ризиком, тому рекомендується користувачам проводити незалежне дослідження та повністю розуміти характер активів та продуктів, які вони придбають перед прийняттям будь-яких інвестиційних рішень. Gate.io не несе відповідальності за будь-які збитки чи шкоду, заподіяні такими інвестиційними рішеннями.