Báo cáo an ninh ngành công nghiệp Web3 mới nhất của Gate Research, dựa trên dữ liệu từ SlowMist, ghi nhận tám sự cố an ninh vào tháng 3 năm 2025, dẫn đến tổng thiệt hại khoảng 14,43 triệu đô la. Các sự cố đa dạng về loại hình, với việc hack tài khoản và lỗ hổng hợp đồng thông minh chiếm đa số, 62,5% tổng số. Báo cáo cung cấp phân tích chi tiết về các sự kiện quan trọng, bao gồm cuộc tấn công lỗ hổng hợp đồng thông minh trên 1inch và sự cố Zoth liên quan đến lỗ hổng hợp đồng và rò rỉ khóa riêng. Việc xâm nhập tài khoản và lỗ hổng hợp đồng đã được xác định là mối đe dọa an ninh chính cho tháng, nhấn mạnh nhu cầu liên tục cho các biện pháp an ninh cải thiện trên toàn ngành công nghiệp.

Trừu tượng

• Vào tháng 3 năm 2025, ngành công nghiệp Web3 đã trải qua tám vụ việc an ninh, dẫn đến tổng thiệt hại là $14.43 triệu—một sự giảm đáng kể so với tháng trước.
• Hầu hết những sự cố này liên quan đến các phương pháp tấn công như lỗ hổng hợp đồng thông minh và vi phạm tài khoản, chiếm 62,5% trong tổng số các trường hợp an ninh trong ngành công nghiệp tiền điện tử.
• Các sự cố lớn trong tháng này bao gồm một lỗ hổng trong hợp đồng thông minh đã tấn công vào 1inch (dẫn đến tổn thất 5 triệu đô la, trong đó đã phục hồi được 90%) và hai cuộc tấn công riêng biệt vào Zoth—một liên quan đến lỗ hổng trong hợp đồng và một liên quan đến rò rỉ khóa riêng tư—dẫn đến tổng tổn thất là 8.575 triệu đô la.
• Về phân phối blockchain, chỉ có một dự án gặp tổn thất trên chuỗi công cộng BSC trong tháng này.

Tổng quan về Sự cố Bảo mật

Theo dữ liệu từ SlowMist, đã ghi nhận tám sự cố về bảo mật từ ngày 1 tháng 3 đến ngày 30 tháng 3 năm 2025, dẫn đến tổng thiệt hại khoảng 14,43 triệu đô la. Các cuộc tấn công chủ yếu liên quan đến lỗ hổng hợp đồng thông minh, chiếm đoạt tài khoản và các phương pháp khai thác khác. So với tháng 2 năm 2025, tổng thiệt hại giảm 99% so với tháng trước. Lỗ hổng hợp đồng thông minh và tài khoản bị hack là nguyên nhân chính gây ra các cuộc tấn công này, với năm sự cố như vậy chiếm 62,5%. Các tài khoản X chính thức (trước đây là Twitter) vẫn là mục tiêu chính của các hacker.

Tháng này, sự cố an ninh duy nhất trên một blockchain công cộng đã xảy ra trên BSC, nơi mà Four.meme gặp thiệt hại lên đến hơn 180.000 đô la. Điều này làm nổi bật nhu cầu cải tiến liên tục trong việc kiểm định hợp đồng thông minh, cơ chế kiểm soát rủi ro và giám sát trên chuỗi trong hệ sinh thái BSC.

Một số dự án blockchain đã phải đối mặt với các vụ vi phạm bảo mật lớn trong tháng này, dẫn đến thiệt hại tài chính đáng kể. Trong số các vụ vi phạm đáng chú ý nhất là nền tảng RWA staking Zoth, mà đã trải qua hai cuộc tấn công riêng biệt: một vụ tấn công mà đã dẫn đến thiệt hại 8,29 triệu đô la, và một vấn đề về lỗ hổng hợp đồng thông minh mà gây ra thiệt hại 285.000 đô la. Ngoài ra, DEX aggregator 1inch đã mất 5 triệu đô la do một lỗ hổng hợp đồng.

Các sự cố bảo mật lớn trong tháng Ba

Theo các tiết lộ chính thức, hơn 13.5 triệu đô la trong tổn thất đã được báo cáo từ các cuộc tấn công an ninh chính trong tháng Ba. Những mối đe dọa chính là sự rò rỉ khóa riêng và lỗ hổng hợp đồng thông minh.

• Kẻ tấn công đã lợi dụng một lỗ hổng trong hợp đồng Fusion v1 lỗi cũ, đánh cắp khoảng 5 triệu đô la Mỹ trong USDC và wETH. Tiền được lấy từ các bộ giải quyết, không phải trực tiếp từ ví người dùng cuối.
• Nền tảng cọc RWA Zoth đã gặp hai sự cố bảo mật vào tháng Ba: vào ngày 6 tháng Ba, một lỗi tính toán tài sản thế chấp đã dẫn đến mất khoản tiền khoảng 285.000 đô la; vào ngày 21 tháng Ba, một hacker đã có được đặc quyền quản trị và nâng cấp hợp đồng lên phiên bản độc hại, đánh cắp khoảng 8,29 triệu đô la USD0++, sau đó được chuyển đổi thành 4.223 ETH.

1inch

Tổng quan dự án: 1inch là một trình tự kết hợp trao đổi phi tập trung (DEX) sử dụng các thuật toán thông minh để xác định các tuyến giao dịch tối ưu trên nhiều DEX, cải thiện hiệu suất giao dịch và việc sử dụng vốn. Theo trang web chính thức của mình, 1inch đã tích hợp hơn 3,2 triệu nguồn cung cấp thanh khoản, tạo ra hơn 596 tỷ USD trong khối lượng giao dịch tích lũy và phục vụ hơn 21,7 triệu người dùng thông qua hơn 134 triệu giao dịch.

Tổng quan về sự cố：

Vào ngày 5 tháng 3, một lỗ hổng trong hợp đồng thông minh Fusion v1 cũ dẫn đến việc mất khoảng 5 triệu đô la. Kẻ tấn công đã tạo ra một con đường giao dịch độc hại để lợi dụng hợp đồng lỗi cũ và rút tiền—cụ thể là USDC và wETH—từ người giải quyết thay vì từng người dùng cá nhân. Các cuộc điều tra sau sự cố đã cho thấy rằng lỗ hổng chỉ tồn tại trong các hợp đồng thông minh cũ. Bằng cách tạo ra một con đường giao dịch cụ thể, kẻ tấn công đã kích hoạt các chức năng chuyển tiền từ người giải quyết. Phiên bản hiện tại của hợp đồng không chứa lỗ hổng này.

Theo một bài phân tích sau sự cố của Decurity, nhóm 1inch đã bắt đầu đàm phán với kẻ tấn công. Hiện tại, khoảng 90% số tiền bị đánh cắp đã được phục hồi, phần còn lại được kẻ tấn công giữ lại như một phần thưởng cho lỗi. Vụ tấn công chủ yếu ảnh hưởng đến các trình giải quyết cũ chưa được nâng cấp. Không có tài sản trực tiếp của người dùng bị ảnh hưởng, và không có sự rò rỉ đáng kể từ ví người dùng được phát hiện. Sự cố này đã làm nổi bật nhu cầu cấp bỏ và nâng cấp các hợp đồng lỗi thời một cách kịp thời.

Đề xuất sau sự cố:

• Tăng cường Quản lý Hợp đồng Di sản và Kiểm soát Truy cập: Các hợp đồng thông minh đã lỗi thời (như Fusion v1) nên được hoàn toàn ngừng sử dụng, với quyền truy cập bị đóng băng hoặc bắt buộc di chuyển, để loại bỏ các bề mặt tấn công tiềm ẩn được để lại cho tính tương thích ngược. Logic kiểm soát truy cập cũng nên được cải thiện bằng cách xác minh nguồn gọi và thực thi các kiểm tra quyền nghiêm ngặt hơn để ngăn chặn việc khai thác thông qua các đường dẫn gọi không được ý định.
• Cải thiện Quy trình Kiểm toán và Phạm vi: Các mô-đun phụ thuộc liên quan đến các hợp đồng cốt lõi (ví dụ, bộ giải quyết) nên được bao gồm trong phạm vi kiểm toán chính thức, với ranh giới rủi ro được xác định rõ ràng cho mỗi thành phần. Mọi cải tiến cấu trúc, nâng cấp ngôn ngữ hoặc thay đổi giao diện nên kích hoạt quá trình kiểm toán lại, và các đánh giá rủi ro lịch sử cho các phiên bản cũ nên được giữ lại.
• Xây dựng Hệ thống Giám sát và Phản ứng Khẩn cấp Thời gian Thực: Hệ thống giám sát bảo mật trên chuỗi nên được triển khai để phát hiện hành vi giao dịch bất thường thời gian thực. Cơ chế phản ứng nhanh—như đóng băng quyền, kênh thông tin khẩn cấp, và chiến lược quay trở lại—nên được thiết lập để giảm thiểu cửa sổ thời gian mất tài sản.
• Thiết lập Cơ Chế Khuyến Incentives để Khuyến Khich Hợp Tác Áo Trắng: Các chương trình thưởng lỗi và các thỏa thuận tiết lộ trách nhiệm với các hacker mũ xám có thể tạo động lực cho việc báo cáo về lỗ hổng một cách đạo đức, góp phần vào việc củng cố vị thế bảo mật tổng thể cho dự án.

Zoth

Tổng quan dự án: Zoth là một nền tảng Ethereum dựa trên RWA restaking, kết nối tài chính truyền thống và hệ sinh thái DeFi thông qua việc token hóa tài sản. Nó cho phép người dùng đặt cược tài sản thế giới thực tuân thủ để kiếm lợi nhuận on-chain và tham gia vào các cơ chế restaking để tăng hiệu quả vốn lớn hơn. Theo trang web chính thức của mình, Zoth có giá trị tổng cộng khóa (TVL) là 35,4 triệu đô la và hơn 250 triệu đô la tài sản đã đăng ký - chứng tỏ sự hiện diện mạnh mẽ của nó tại điểm giao của hệ thống tài chính on-chain và truyền thống. Nền tảng tiếp tục mở rộng hệ sinh thái restaking của mình thông qua các đối tác với các nhà phát hành RWA và giao thức thanh khoản.

Tổng quan vụ việc:

Vào tháng 3 năm 2025, Zoth đã trải qua hai vụ vi phạm bảo mật lớn, dẫn đến tổng thiệt hại khoảng 8,575 triệu đô la.

• Ngày 6 tháng 3: Một lỗ hổng thiết kế trong logic thế chấp của Zoth cho phép kẻ tấn công lợi dụng các tính toán không chính xác trong quá trình định giá tài sản thế chấp của hợp đồng. Kẻ tấn công đã bypass các kiểm tra xác nhận tài sản thế chấp bằng cách liên tục gọi các chức năng cụ thể và rút ra khoảng $285,000 quá mức. Sự cố này đã phơi bày những điểm yếu trong cách mà hợp đồng xử lý việc định giá tài sản, ngưỡng tỷ lệ tài sản thế chấp và điều kiện ranh giới.
• Ngày 21 tháng 3: Zoth bị nhắm mục tiêu một lần nữa trong một vụ tấn công được tổ chức và âm mưu cao cấp. Sau một số cố gắng thất bại, kẻ tấn công đã thành công trong việc kiểm soát tài khoản triển khai và sử dụng nó để nâng cấp giao thức thông qua một hợp đồng proxy đến một phiên bản độc hại. Việc nâng cấp này đã cho phép kẻ tấn công kiểm soát đầy đủ các logic hợp đồng, cho phép họ rút tiền từ các kho bảo mật cô lập chứa các token USD0++. Kẻ tấn công đã đánh cắp khoảng 845 triệu USD0++, mà họ nhanh chóng đổi sang DAI và chuyển đổi thành 4,223 ETH — tương đương khoảng 8,29 triệu đô la.

Sau các sự cố xảy ra, đội ngũ Zoth ngay lập tức kích hoạt giao thức ứng phó khẩn cấp của mình và hợp tác với công ty an ninh blockchain Crystal Blockchain BV để tiến hành điều tra. Họ cũng làm việc chặt chẽ với các đối tác phát hành tài sản để bảo vệ khoảng 73% TVL của nền tảng. Trong một tuyên bố công khai, Zoth thông báo về một chương trình thưởng lỗi trị giá 500.000 USD để khuyến khích thông tin có thể giúp phục hồi khoản tiền bị đánh cắp.

Cho đến ngày 31 tháng 3, tài sản bị đánh cắp vẫn đa phần không di chuyển và tập trung tại hai địa chỉ ví (nắm giữ tổng cộng 4.223 ETH). Nhóm đã triển khai hệ thống theo dõi trên chuỗi và hợp tác với các công ty phân tích blockchain toàn cầu, các nền tảng Web2 và cơ quan thực thi pháp luật để theo dõi các bước di chuyển của kẻ tấn công. Zoth đã cam kết sẽ phát hành một báo cáo tổng kết đầy đủ và một kế hoạch phục hồi và xây dựng sau khi cuộc điều tra hoàn tất.[7][8][9]

Khuyến nghị sau sự cố:

• Tăng cường Quyền Core và Nâng cấp Quản lý: Sự cố này bắt nguồn từ việc xâm nhập khóa riêng của người triển khai, cho phép nâng cấp hợp đồng độc hại - tiết lộ các điểm yếu quan trọng trong việc kiểm soát quyền hạn và quy trình nâng cấp. Trong tương lai, nên áp dụng ví đa chữ ký, thiết lập cơ chế quyền truy cập theo tầng, thiết lập cơ chế danh sách trắng nâng cấp, và thực hiện các quy trình kiểm soát trên chuỗi hoặc kiểm định bảo mật để đảm bảo an toàn trong quá trình nâng cấp.
• Triển khai Giám sát Thời Gian Thực và Kiểm Soát Rủi Ro Tự Động: Việc rút vốn nhanh chóng cho thấy sự thiếu sót trong việc phát hiện kịp thời. Nền tảng nên triển khai giám sát giao dịch thời gian thực, hệ thống cảnh báo tấn công và cơ chế đóng băng tài sản trên chuỗi để giảm cửa sổ phản ứng trong các cuộc tấn công trong tương lai.
• Cải thiện Quản lý Tài sản và Logic Kiểm soát Truy cập: Việc rút tiền thành công từ các két cô lập cho thấy sự kiểm soát truy cập không đủ trong cơ chế quản lý. Để đảm bảo hợp đồng tài sản chính được bảo vệ bởi nhiều lớp kiểm soát rủi ro, hạn chế cuộc gọi động, phát hiện hành vi bất thường và xác nhận đường dẫn giao dịch nên được giới thiệu.
• Hệ thống hóa Phản ứng Khẩn cấp và Hợp tác Liên đội: Đội ngũ đã phản ứng nhanh chóng bằng cách phối hợp với các công ty bảo mật và cảnh sát, phát hành cập nhật tiến độ và triển khai chương trình thưởng—hiệu quả ổn định tình hình. Đối với các sự cố trong tương lai, nên áp dụng một giao thức phản ứng khẩn cấp tiêu chuẩn, bao gồm năm giai đoạn chính: giám sát, cảnh báo, đóng băng, điều tra và giao tiếp, cam kết duy trì sự minh bạch liên tục.

Tóm tắt

Vào tháng 3 năm 2025, nhiều dự án DeFi đã gặp sự cố an ninh, dẫn đến mất mát hàng chục triệu đô la. Hai sự cố đáng chú ý—lỗ hổng hợp đồng thông minh trên 1inch và cuộc tấn công tăng quyền trên Zoth—một lần nữa làm nổi bật những rủi ro hệ thống như lỗ hổng hợp đồng cũ, quyền hành quản trị tập trung, cơ chế nâng cấp bị lỗi và khung hồi đáp rủi ro không đủ. Trong khi 1inch đã thành công trong việc khôi phục hầu hết số tiền bị đánh cắp thông qua thương lượng kịp thời với kẻ tấn công, và Zoth đã hành động nhanh chóng để khởi đầu hợp tác giữa các nhóm và bảo vệ 73% tài sản của mình, cả hai trường hợp đều tiết lộ những lĩnh vực cần cải thiện trong cấu trúc quản trị, kiểm soát truy cập, kiểm định an ninh và giám sát thời gian thực trên nhiều giao protocô DeFi.

Những sự cố này nhấn mạnh sự quan trọng của việc triển khai hệ thống theo dõi trên chuỗi, cơ chế đóng băng tài sản tự động, và cấu trúc động viên cho việc tiết lộ thông tin của gray-hat. Đối với các dự án DeFi để duy trì sự tin tưởng của người dùng lâu dài, bảo mật phải được xem xét như một yếu tố thiết kế cơ bản từ đầu—không phải là điều sau cùng. Gate.io nhắc nhở người dùng cần cập nhật thông tin về phát triển bảo mật và bảo vệ tích cực tài sản cá nhân của mình.


Tham khảo:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Nghiên cứu Gate
Nghiên cứu Gate là một nền tảng nghiên cứu blockchain và tiền điện tử toàn diện cung cấp nội dung chi tiết. Điều này bao gồm phân tích kỹ thuật, cái nhìn sâu sắc về chủ đề nóng, đánh giá thị trường, nghiên cứu ngành, dự báo xu hướng và phân tích chính sách kinh tế vĩ mô.

Click ở đâyđể thăm ngay bây giờ

Bản quyền
Đầu tư vào thị trường tiền điện tử có rủi ro cao, và người dùng được khuyến nghị tiến hành nghiên cứu độc lập và hiểu đúng bản chất của tài sản và sản phẩm mà họ đang mua trước khi đưa ra bất kỳ quyết định đầu tư nào. Gate.io không chịu trách nhiệm về bất kỳ tổn thất hoặc thiệt hại nào do các quyết định đầu tư đó gây ra.