Gate 研究院最新 Web3 業界安全レポートによると、Slowmist のデータに基づき、2025 年 3 月に合計 8 件のセキュリティ事件が発生し、損失総額は約 1,443 万ドルであった。事件の種類は多様化しており、アカウントのハッキングと契約の脆弱性による事件が最も多く、62.5% を占めている。レポートでは、1inch が契約の脆弱性攻撃を受けたこと、Zoth が契約の脆弱性と秘密鍵の漏洩に遭遇したことなど、主要なセキュリティ事件について詳細に分析している。アカウントのハッキングと契約の脆弱性が今月の主要なセキュリティリスクとして特定されており、業界がセキュリティ対策を強化し続ける必要性が浮き彫りになっている。## まとめ* 2025年3月、Web3業界で8件のセキュリティ事件が発生し、損失総額は1,443万ドルで、先月に比べて大幅に減少しました。* 今月のセキュリティ事件は主に契約の脆弱性、アカウントのハッキングなどの攻撃方法に関係しており、暗号業界のセキュリティ事件の総事件の 62.5% を占めています。* 今月の重大な出来事には、1inchが契約の脆弱性攻撃を受けた(500万ドルの損失、90%回収済み)、Zothが契約の脆弱性と秘密鍵の漏洩による2回の攻撃を受けた(累計損失は857.5万ドルに達する)。* セキュリティ事件の各チェーンの分布を見ると、今月は唯一のプロジェクトの損失がパブリックチェーン BSC で発生しました。## セキュリティ事件の概要Slowmistのデータによると、2025年3月1日から3月30日までの間に8件のセキュリティ事件が記録され、総損失額は1,443万ドルです。攻撃は主に契約の脆弱性、アカウントのハッキング、およびその他の手法に関与しています。2025年2月と比較して、総損失額は前月比で99%減少しました。契約の脆弱性とアカウントのハッキングが攻撃の主な原因であり、関連するハッカー攻撃が5回発生し、総数の62.5%を占めています。公式のXアカウントは依然としてハッカーの主要な標的です。【1】! [](https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/719e7ded8887436f22a9030099ffa21f2c25fa29.webp)今月は BSC 公共チェーンでのみセキュリティ事件が発生し、Four.Meme プロジェクトは 18 万ドル以上の損失を被りました。これは、BSC エコシステムがスマートコントラクトの監査、リスク管理メカニズム、オンチェーン監視において引き続き最適化の余地があることを示しています。今月、いくつかのブロックチェーンプロジェクトが重大なセキュリティインシデントに見舞われ、深刻な財務損失を引き起こしました。その中でも特に注目を集めている事件は、RWAステーキングプラットフォームZothが連続して2回攻撃を受けたことで、一度はハッカー攻撃により829万ドルを失い、もう一度は契約の脆弱性により28.5万ドルを失ったことです。また、DEXアグリゲーター1inchも契約の脆弱性により500万ドルを失いました。## 3月の重大なセキュリティ事件公式の発表によると、以下のプロジェクトは3月に1350万ドルを超える損失を被りました。秘密鍵の漏洩と契約の脆弱性が二つの主要な脅威です。! [](https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/69aa576703545777f273863b6125b7352c5b67eb.webp)* 1inch が 500 万ドルの資金損失に遭い、攻撃者は 1inch の旧版 Fusion v1 コントラクトの脆弱性を利用して、約 500 万ドルの USDC と wETH を盗みました。関与した資金はパーサーからであり、ユーザー資産ではありません。* Zothは2回の攻撃を受け、累積損失は857.5万ドルに達しました。3月6日には、担保計算の脆弱性により約28.5万ドルの損失が発生しました。3月21日にはハッカーが管理者権限を取得し、契約を悪意のあるバージョンにアップグレードし、約829万ドルのUSD0++を盗み、最終的に4,223枚のETHに換金しました。### 1インチプロジェクト概要:1inchは、分散型取引所においてユーザーのために最適な価格パスを見つけることを目的とした分散型取引アグリゲーターであり、スマートアルゴリズムを通じて取引効率と資金の利用率を向上させます。公式ウェブサイトのデータによると、1inchは320万以上の流動性ソースを統合しており、累計取引額は5960億ドルを超え、2170万人以上のユーザーを持ち、1.34億件を超える取引を実行しています。【2】イベント概要:1inchは3月5日に旧版Fusion v1契約の脆弱性により約500万ドルの損失を被りました。攻撃者はその脆弱性を利用して約500万ドルのUSDCとwETHを盗み、関与した資金はパーサー(ユーザーの注文を実行するエンティティ)に属し、エンドユーザーの資産ではありません。事後調査によると、その脆弱性は古いスマート契約に存在し、攻撃者は巧妙に構築された取引パスを通じて関連関数を呼び出し、パーサーから資金を移動させましたが、現在のバージョンの契約にはその脆弱性は存在しません。Decurity の事後報告によると、1inch チームは事件発生後にハッカーと交渉を行い、大部分の盗まれた資金が返還されました(現在、9割が回収されています)。ハッカーは一部を脆弱性報酬として保持しています。今回の攻撃は、適時にアップグレードされていない旧版の解析器に主に影響を与え、一般ユーザーの資産には直接的な影響はなく、大規模なユーザー資金の流出も発生しませんでした。この事件は、旧版契約の適時清掃およびアップグレードの重要性を浮き彫りにしています。【3】【4】【5】事故後の振り返り* 古いバージョンのコントラクト管理と権限コントロールの強化:廃止されたスマートコントラクト(例:Fusion v1)については、互換性の保持による潜在的な攻撃面を防ぐために、徹底的なシャットダウン、権限の凍結、または強制移行措置を講じるべきです。同時に、アクセス制御ロジックを改善し、呼び出し元の検証と権限制限を強化して、非予期の呼び出しパスが利用されるのを防ぐ必要があります。* 監査プロセスと範囲の完善:コア契約に関連する周辺モジュール(例:resolver)を正式な監査範囲に含め、各コンポーネントのリスク境界を明確にする。コード構造のリファクタリング、言語のアップグレード、またはインターフェースの変更後には、再度監査プロセスをトリガーし、旧バージョンのリスク管理記録を保持すること。* リアルタイム監視と緊急対応システムの構築:オンチェーンセキュリティ監視システムを展開し、異常取引行動をリアルタイムでキャッチし、迅速な対応メカニズム(権限凍結、緊急コミュニケーション、リスク管理のロールバック計画など)を設けて、資金損失の時間ウィンドウを減少させる。* 正のインセンティブメカニズムを構築し、ホワイトハットの協力を促進する:バグバウンティ制度とグレー帽ハッカーとの協議メカニズムを通じて、潜在的な攻撃者が責任を持ってセキュリティの脆弱性を報告するよう導くことで、プロジェクト全体のセキュリティ保護レベルを向上させるのに役立ちます。### ゾスプロジェクト概要:Zothは、イーサリアムに基づくRWAリステージングプラットフォームで、資産のトークン化を通じて伝統的金融とDeFiエコシステムを接続します。ユーザーは、コンプライアンスのある現実世界の資産をステーキングし、オンチェーンの利益を得てリステーキングメカニズムに参加することで、資本効率を向上させることができます。公式ウェブサイトのデータによると、Zothの総ロックバリューは3,540万ドルに達し、登録された資産は2.5億ドルに達し、オンチェーンと伝統的金融の間に堅固な橋を築いており、複数のRWA発行者および流動性プロトコルとの協力を通じてリステーキングエコシステムを継続的に拡大しています。【6】イベント概要:Zoth は 2025 年 3 月に 2 件の深刻なセキュリティ事件に遭遇し、合計で約 857.5 万ドルの損失を被りました。* 3月6日、Zothプラットフォームは担保ロジックに設計上の欠陥が存在し、ハッカーが契約内の担保価値計算に対する不正確な判断メカニズムを利用して、実際の担保率を満たすことなく超過資金を引き出すことができました。攻撃者は関連する関数を何度も呼び出すことで、担保検証ロジックを回避し、約28.5万ドルの資産を成功裏に引き出しました。この事件は、契約内部の資産評価、担保率設定、および境界条件の検証に不足があることを暴露しました。* 3 月 21 日、Zoth は再び高い計画性を持つ攻撃事件が発生しました。攻撃者は何度も失敗した後、デプロイ者アカウントの制御権を取得し、悪意のあるプロキシ契約を通じて、プロトコルのコアロジックを無許可の操作を実行できる悪意のあるバージョンに置き換えました。攻撃者はこれを利用して、隔離された金庫に担保された USD0++ 資産を引き出し、合計で約 845 万枚の USD0++ を盗み出し、迅速に DAI に交換した後、4,223 枚の ETH に変換し、約 829 万ドルに相当します。事件発生後、Zothチームは直ちに緊急対応メカニズムを起動し、ブロックチェーンセキュリティ機関Crystal Blockchain BVと連携して調査を開始し、Asset Issuerの協力者と共にプラットフォームの約73%のTVLを保護しました。また、Zothチームは公開声明を発表し、資金回収の有効な手がかりを助けるための報奨金プログラムとして50万ドルのバグバountyを設定しました。3月31日現在、攻撃者の資金はまだ大規模に移動しておらず、主に2つのウォレットアドレス(合計4,223 ETH)に集中しています。チームはオンチェーン監視システムを展開し、世界的なオンチェーン分析会社、Web2プラットフォーム、及び法執行機関と緊密に協力し、攻撃者のオンチェーン足跡を全力で追跡しています。Zothは調査終了後に完全な振り返り報告書を公開し、プラットフォームの資産回収と再構築計画を同時に発表することを約束しています。【7】【8】【9】事故後の振り返り* コア権限と契約のアップグレード管理を強化:今回の事件は、デプロイヤーの秘密鍵が攻撃され、悪意のあるアップグレードが実行されたことに起因し、権限管理とアップグレードプロセスの重大なリスクが露呈しました。今後は、マルチシグ機構、権限の階層化、アップグレードホワイトリスト機構を採用し、アップグレードの安全性を確保するためにオンチェーンガバナンスまたはセキュリティ監査プロセスを確立することをお勧めします。* リアルタイム監視と自動化リスク管理システムの構築:資金が迅速に転送されることは監視の反応が遅れていることを示しており、今後はオンチェーン取引の監視、攻撃警報システム、資産凍結メカニズムを展開して、攻撃の発見と反応の時間ウィンドウを短縮する必要があります。* 資産の管理とアクセス制御のロジックを最適化する:隔離された金庫が呼び出されることは、管理メカニズムに呼び出し権限の制限が欠けていることを示しています。動的な呼び出し制限、異常行動検知、およびパス検証メカニズムを導入することをお勧めします。これにより、重要な資産契約に複数のリスク管理保護が備わることが確保されます。* 制度化された緊急対応とクロスチーム協力メカニズム:事件後、チームは迅速にセキュリティ機関と法執行機関と連携し、進捗を公表し、懸賞金を設定して、効果的に状況を安定させます。緊急対応の標準プロセスを制度化し、監視、報告、凍結、調査、コミュニケーションの5つの段階を含むことをお勧めします。また、外部に対して常に公開透明性を持って行うべきです。## まとめ2025年3月、複数のDeFiがセキュリティの脆弱性攻撃に遭い、合計で数千万ドルの資産が損失しました。DeFi分野の2つの典型的なセキュリティ事件——1inchのスマートコントラクトの脆弱性攻撃とZothの権限昇格攻撃は、旧版コントラクトの遺産、核心権限の集中、アップグレードメカニズムの欠陥、リスク管理の応答不足などのシステムリスクを再度浮き彫りにしました。1inchは事件後に迅速に攻撃者と交渉し、大部分の資金を回収しましたが、Zothも迅速にチーム間の協力を開始し73%の資産を保全しました。しかし、これらの事件は、現在の一部のDeFiプロジェクトがガバナンスメカニズム、権限管理、セキュリティ監査、リアルタイムモニタリングなどの面でさらに最適化の余地があることを示しています。これらのセキュリティ事件は、オンチェーン監視メカニズム、オートフリーズプロセス、グレー帽インセンティブ制度の重要性をさらに強調しています。将来的にDeFiプロジェクトがユーザーの継続的な信頼を得るためには、システム設計段階から安全性をコアエンジニアリング要素と見なす必要があり、事後の対策ではありません。Gate.ioはユーザーにセキュリティの動向に注意を払い、個人資産の保護を強化するよう呼びかけています。<br>**リソース:**1. Slowmist,[https://hacked.slowmist.io/](https://hacked.slowmist.io/)2. 1inch,[https://1inch.io/](https://1inch.io/)3. X,[https://x.com/SlowMist_Team/status/1897958914114879656](https://x.com/SlowMist_Team/status/1897958914114879656)4. Decurity,[https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9](https://blog.decurity. io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9)5. X,[https://x.com/PeckShieldAlert/status/1906894141193376021](https://x.com/PeckShieldAlert/status/1906894141193376021)6. Zoth,[https://zoth.io/](https://zoth.io/)7. X,[https://x.com/zothdotio/status/1906343855181701342](https://x.com/zothdotio/status/1906343855181701342)8. X,[https://x.com/CyversAlerts/status/1903021017460600885](https://x.com/CyversAlerts/status/1903021017460600885)9. X,[https://x.com/PeckShieldAlert/status/1903040662829768994](https://x.com/PeckShieldAlert/status/1903040662829768994)<br>**ゲート・インスティテュート**Gate研究所は、読者に技術分析、ホットな洞察、市場レビュー、業界研究、トレンド予測、マクロ経済政策分析を含む深いコンテンツを提供する包括的なブロックチェーンおよび暗号通貨研究プラットフォームです。[リンク](https://www.gate.io/learn/category/research) 今すぐクリック免責事項****暗号通貨市場への投資は高リスクを伴うため、ユーザーは投資決定を行う前に独立した調査を行い、購入する資産や商品の性質を十分に理解することをお勧めします。 Gate.io は、このような投資決定によって生じた損失や損害について責任を負いません。*
Gate Institute: 2025 年のセキュリティ インシデントの第 3 フェーズの概要
Gate 研究院最新 Web3 業界安全レポートによると、Slowmist のデータに基づき、2025 年 3 月に合計 8 件のセキュリティ事件が発生し、損失総額は約 1,443 万ドルであった。事件の種類は多様化しており、アカウントのハッキングと契約の脆弱性による事件が最も多く、62.5% を占めている。レポートでは、1inch が契約の脆弱性攻撃を受けたこと、Zoth が契約の脆弱性と秘密鍵の漏洩に遭遇したことなど、主要なセキュリティ事件について詳細に分析している。アカウントのハッキングと契約の脆弱性が今月の主要なセキュリティリスクとして特定されており、業界がセキュリティ対策を強化し続ける必要性が浮き彫りになっている。
まとめ
セキュリティ事件の概要
Slowmistのデータによると、2025年3月1日から3月30日までの間に8件のセキュリティ事件が記録され、総損失額は1,443万ドルです。攻撃は主に契約の脆弱性、アカウントのハッキング、およびその他の手法に関与しています。2025年2月と比較して、総損失額は前月比で99%減少しました。契約の脆弱性とアカウントのハッキングが攻撃の主な原因であり、関連するハッカー攻撃が5回発生し、総数の62.5%を占めています。公式のXアカウントは依然としてハッカーの主要な標的です。【1】
!
今月は BSC 公共チェーンでのみセキュリティ事件が発生し、Four.Meme プロジェクトは 18 万ドル以上の損失を被りました。これは、BSC エコシステムがスマートコントラクトの監査、リスク管理メカニズム、オンチェーン監視において引き続き最適化の余地があることを示しています。
今月、いくつかのブロックチェーンプロジェクトが重大なセキュリティインシデントに見舞われ、深刻な財務損失を引き起こしました。その中でも特に注目を集めている事件は、RWAステーキングプラットフォームZothが連続して2回攻撃を受けたことで、一度はハッカー攻撃により829万ドルを失い、もう一度は契約の脆弱性により28.5万ドルを失ったことです。また、DEXアグリゲーター1inchも契約の脆弱性により500万ドルを失いました。
3月の重大なセキュリティ事件
公式の発表によると、以下のプロジェクトは3月に1350万ドルを超える損失を被りました。秘密鍵の漏洩と契約の脆弱性が二つの主要な脅威です。
!
1インチ
プロジェクト概要:1inchは、分散型取引所においてユーザーのために最適な価格パスを見つけることを目的とした分散型取引アグリゲーターであり、スマートアルゴリズムを通じて取引効率と資金の利用率を向上させます。公式ウェブサイトのデータによると、1inchは320万以上の流動性ソースを統合しており、累計取引額は5960億ドルを超え、2170万人以上のユーザーを持ち、1.34億件を超える取引を実行しています。【2】
イベント概要: 1inchは3月5日に旧版Fusion v1契約の脆弱性により約500万ドルの損失を被りました。攻撃者はその脆弱性を利用して約500万ドルのUSDCとwETHを盗み、関与した資金はパーサー(ユーザーの注文を実行するエンティティ)に属し、エンドユーザーの資産ではありません。事後調査によると、その脆弱性は古いスマート契約に存在し、攻撃者は巧妙に構築された取引パスを通じて関連関数を呼び出し、パーサーから資金を移動させましたが、現在のバージョンの契約にはその脆弱性は存在しません。
Decurity の事後報告によると、1inch チームは事件発生後にハッカーと交渉を行い、大部分の盗まれた資金が返還されました(現在、9割が回収されています)。ハッカーは一部を脆弱性報酬として保持しています。今回の攻撃は、適時にアップグレードされていない旧版の解析器に主に影響を与え、一般ユーザーの資産には直接的な影響はなく、大規模なユーザー資金の流出も発生しませんでした。この事件は、旧版契約の適時清掃およびアップグレードの重要性を浮き彫りにしています。【3】【4】【5】
事故後の振り返り
ゾス
プロジェクト概要:Zothは、イーサリアムに基づくRWAリステージングプラットフォームで、資産のトークン化を通じて伝統的金融とDeFiエコシステムを接続します。ユーザーは、コンプライアンスのある現実世界の資産をステーキングし、オンチェーンの利益を得てリステーキングメカニズムに参加することで、資本効率を向上させることができます。公式ウェブサイトのデータによると、Zothの総ロックバリューは3,540万ドルに達し、登録された資産は2.5億ドルに達し、オンチェーンと伝統的金融の間に堅固な橋を築いており、複数のRWA発行者および流動性プロトコルとの協力を通じてリステーキングエコシステムを継続的に拡大しています。【6】
イベント概要: Zoth は 2025 年 3 月に 2 件の深刻なセキュリティ事件に遭遇し、合計で約 857.5 万ドルの損失を被りました。
事件発生後、Zothチームは直ちに緊急対応メカニズムを起動し、ブロックチェーンセキュリティ機関Crystal Blockchain BVと連携して調査を開始し、Asset Issuerの協力者と共にプラットフォームの約73%のTVLを保護しました。また、Zothチームは公開声明を発表し、資金回収の有効な手がかりを助けるための報奨金プログラムとして50万ドルのバグバountyを設定しました。
3月31日現在、攻撃者の資金はまだ大規模に移動しておらず、主に2つのウォレットアドレス(合計4,223 ETH)に集中しています。チームはオンチェーン監視システムを展開し、世界的なオンチェーン分析会社、Web2プラットフォーム、及び法執行機関と緊密に協力し、攻撃者のオンチェーン足跡を全力で追跡しています。Zothは調査終了後に完全な振り返り報告書を公開し、プラットフォームの資産回収と再構築計画を同時に発表することを約束しています。【7】【8】【9】
事故後の振り返り
まとめ
2025年3月、複数のDeFiがセキュリティの脆弱性攻撃に遭い、合計で数千万ドルの資産が損失しました。DeFi分野の2つの典型的なセキュリティ事件——1inchのスマートコントラクトの脆弱性攻撃とZothの権限昇格攻撃は、旧版コントラクトの遺産、核心権限の集中、アップグレードメカニズムの欠陥、リスク管理の応答不足などのシステムリスクを再度浮き彫りにしました。1inchは事件後に迅速に攻撃者と交渉し、大部分の資金を回収しましたが、Zothも迅速にチーム間の協力を開始し73%の資産を保全しました。しかし、これらの事件は、現在の一部のDeFiプロジェクトがガバナンスメカニズム、権限管理、セキュリティ監査、リアルタイムモニタリングなどの面でさらに最適化の余地があることを示しています。
これらのセキュリティ事件は、オンチェーン監視メカニズム、オートフリーズプロセス、グレー帽インセンティブ制度の重要性をさらに強調しています。将来的にDeFiプロジェクトがユーザーの継続的な信頼を得るためには、システム設計段階から安全性をコアエンジニアリング要素と見なす必要があり、事後の対策ではありません。Gate.ioはユーザーにセキュリティの動向に注意を払い、個人資産の保護を強化するよう呼びかけています。
リソース:
ゲート・インスティテュート Gate研究所は、読者に技術分析、ホットな洞察、市場レビュー、業界研究、トレンド予測、マクロ経済政策分析を含む深いコンテンツを提供する包括的なブロックチェーンおよび暗号通貨研究プラットフォームです。
リンク 今すぐクリック
免責事項*** 暗号通貨市場への投資は高リスクを伴うため、ユーザーは投資決定を行う前に独立した調査を行い、購入する資産や商品の性質を十分に理解することをお勧めします。 Gate.io は、このような投資決定によって生じた損失や損害について責任を負いません。