O mais recente relatório de segurança da indústria Web3 da Gate Research, com base em dados da SlowMist, registou oito incidentes de segurança em março de 2025, resultando em perdas totais de aproximadamente $14.43 milhões. Os incidentes variaram em tipo, com hacks de contas e vulnerabilidades de contratos inteligentes representando a maioria, 62.5% do total. O relatório fornece uma análise detalhada dos eventos-chave, incluindo o ataque de vulnerabilidade de contrato inteligente no 1inch e o incidente Zoth envolvendo falhas de contrato e vazamento de chave privada. As violações de contas e vulnerabilidades de contratos foram identificadas como as principais ameaças à segurança do mês, sublinhando a necessidade contínua de medidas de segurança aprimoradas em toda a indústria.

Abstrato

• Em março de 2025, a indústria Web3 experimentou oito incidentes de segurança, resultando em perdas totais de $14.43 milhões - uma diminuição significativa em comparação com o mês anterior.
• A maioria desses incidentes envolveu métodos de ataque, como vulnerabilidades de contratos inteligentes e violações de contas, que juntos representaram 62.5% de todos os casos de segurança na indústria de criptomoedas.
• Os principais incidentes deste mês incluíram a exploração de uma vulnerabilidade do contrato inteligente visando a 1inch (resultando em $5 milhões de perdas, dos quais 90% foram recuperados) e dois ataques separados ao Zoth — um envolvendo uma vulnerabilidade do contrato e o outro uma fuga da chave privada — resultando em uma perda combinada de $8.575 milhões.
• Relativamente à distribuição de blockchain, apenas um projeto sofreu perdas na cadeia pública BSC este mês.

Visão Geral do Incidente de Segurança

De acordo com os dados da SlowMist, foram registados oito incidentes de segurança entre 1 e 30 de março de 2025, resultando em perdas totais de aproximadamente 14,43 milhões de dólares. Os ataques envolveram principalmente vulnerabilidades de contratos inteligentes, comprometimento de contas e outros métodos de exploração. Em comparação com fevereiro de 2025, a perda total caiu 99% mês a mês. Falhas de contratos inteligentes e contas hackeadas foram as principais causas desses ataques, com cinco incidentes desse tipo representando 62,5%. As contas oficiais X (anteriormente Twitter) continuam a ser alvos principais para hackers.[1]

Este mês, o único incidente de segurança numa blockchain pública ocorreu na BSC, onde a Four.meme sofreu perdas superiores a $180,000. Isto destaca a necessidade de melhorias contínuas na auditoria de contratos inteligentes, mecanismos de controlo de risco e monitorização on-chain dentro do ecossistema da BSC.

Vários projetos de blockchain enfrentaram grandes violações de segurança este mês, resultando em danos financeiros significativos. Um dos mais notáveis foi a plataforma de staking RWA Zoth, que sofreu dois ataques separados: um envolvendo um hack que resultou em perdas de $8.29 milhões, e outro devido a uma vulnerabilidade de contrato inteligente que causou $285,000 em danos. Além disso, o agregador DEX 1inch perdeu $5 milhões devido a uma vulnerabilidade de contrato.

Principais Incidentes de Segurança em Março

De acordo com divulgações oficiais, mais de $13.5 milhões em perdas foram relatados de importantes violações de segurança em março. As principais ameaças foram vazamentos de chaves privadas e vulnerabilidades de contratos inteligentes.

• Os atacantes exploraram uma vulnerabilidade no contrato desatualizado Fusion v1, roubando cerca de $5 milhões em USDC e wETH. Os fundos foram retirados dos resolvers, não diretamente das carteiras dos utilizadores finais.
• A plataforma de staking RWA Zoth sofreu dois incidentes de segurança em março: em 6 de março, uma falha de cálculo de garantia resultou em uma perda de aproximadamente $285,000; em 21 de março, um hacker obteve privilégios de administrador e atualizou o contrato para uma versão maliciosa, roubando cerca de $8.29 milhões em USD0++, que foram eventualmente convertidos em 4.223 ETH.

1inch

Visão geral do projeto: 1inch é um agregador de trocas descentralizadas (DEX) que utiliza algoritmos inteligentes para identificar rotas de negociação ótimas em vários DEXs, melhorando a eficiência de negociação e utilização de capital. De acordo com o seu site oficial, o 1inch integrou mais de 3,2 milhões de fontes de liquidez, facilitou mais de $596 biliões em volume de negociação cumulativo e serviu mais de 21,7 milhões de utilizadores através de mais de 134 milhões de transações.

Visão Geral do Incidente：

Em 5 de março, uma vulnerabilidade no contrato inteligente legado Fusion v1 levou à perda de aproximadamente $5 milhões. O atacante criou um caminho de transação maliciosa para explorar o contrato desatualizado e drenou fundos - especificamente USDC e wETH - dos resolvers em vez de usuários individuais. Investigações pós-incidente revelaram que a vulnerabilidade existia apenas nos contratos inteligentes desatualizados. Ao criar um caminho de transação específico, o atacante invocou funções que transferiram fundos do resolvedor. A versão atual do contrato não contém essa vulnerabilidade.

De acordo com uma análise pós-incidente pela Decurity, a equipe 1inch entrou em negociações com o atacante. Atualmente, cerca de 90% dos fundos roubados foram recuperados, sendo o restante retido pelo atacante como uma recompensa por bugs. O ataque afetou principalmente os resolutores legados que não haviam sido atualizados. Nenhum ativo direto do usuário foi afetado e não foi detectada nenhuma saída significativa das carteiras dos usuários. Este incidente destacou a necessidade crítica de depreciar e atualizar contratos desatualizados de forma oportuna.

Recomendações pós-incidente:

• Reforçar a Gestão de Contratos Legados e Controlos de Acesso: Os contratos inteligentes obsoletos (como o Fusion v1) devem ser totalmente desativados, com permissões congeladas ou migradas à força, para eliminar potenciais superfícies de ataque deixadas para trás para compatibilidade com versões anteriores. A lógica de controlo de acesso também deve ser melhorada, verificando as fontes de chamada e aplicando verificações de permissão mais rigorosas para evitar a exploração através de caminhos de chamada não intencionais.
• Melhorar os Processos de Auditoria e Cobertura: Os módulos periféricos relacionados aos contratos principais (por exemplo, resolutores) devem ser incluídos nos escopos de auditoria formais, com limites de risco claramente definidos para cada componente. Qualquer refatoração estrutural, atualizações de linguagem ou mudanças de interface devem desencadear processos de re-auditoria, e avaliações de risco históricas para versões legadas devem ser retidas.
• Construir Sistemas de Monitorização em Tempo Real e de Resposta a Emergências: Sistemas de monitorização de segurança on-chain devem ser implementados para detetar comportamentos de transação anormais em tempo real. Um mecanismo de resposta rápida - como congelamento de permissões, canais de comunicação de emergência e estratégias de rollback - deve estar em vigor para minimizar a janela de tempo para perda de ativos.
• Estabelecer Mecanismos de Incentivo para Encorajar a Colaboração de White-Hat: Programas de recompensas por bugs e acordos de divulgação responsável com hackers de chapéu cinzento podem incentivar a reportagem ética de vulnerabilidades, contribuindo para uma postura de segurança geral mais forte para o projeto.

Zoth

Visão geral do projeto: Zoth é uma plataforma de restaking RWA baseada em Ethereum que une finanças tradicionais e o ecossistema DeFi através da tokenização de ativos. Permite aos utilizadores apostar ativos do mundo real em conformidade para ganhar rendimentos on-chain e participar em mecanismos de restaking para uma maior eficiência de capital. De acordo com o seu site oficial, a Zoth tem um total de valor bloqueado (TVL) de $35.4 milhões e mais de $250 milhões em ativos registados—demonstrando a sua forte presença na interseção dos sistemas financeiros on-chain e tradicionais. A plataforma continua a expandir o seu ecossistema de restaking através de parcerias com emissores de RWA e protocolos de liquidez.

Visão geral do incidente:

Em março de 2025, a Zoth experimentou dois grandes breaches de segurança, resultando em perdas totais de aproximadamente $8.575 milhões.

• 6 de março: Uma falha de design na lógica de garantia de Zoth permitiu que os atacantes explorassem cálculos imprecisos no processo de valoração de garantia do contrato. O atacante contornou as verificações de validação de garantia invocando repetidamente funções específicas e extraindo cerca de $285,000 em fundos excedentes. Este incidente revelou fraquezas na forma como o contrato lidava com a valoração de ativos, limites de proporção de garantia e condições de fronteira.
• 21 de março: Zoth foi novamente alvo de um ataque altamente coordenado e premeditado. Após várias tentativas falhadas, o atacante obteve com sucesso o controle da conta do deployer e usou-a para atualizar o protocolo através de um contrato proxy para uma versão maliciosa. Esta atualização deu ao atacante controle total sobre a lógica do contrato, permitindo-lhes drenar cofres isolados contendo tokens colateralizados USD0++. O atacante roubou aproximadamente 845 milhões de USD0++, que rapidamente trocaram por DAI e converteram em 4.223 ETH - equivalente a cerca de $8.29 milhões.

Após os incidentes, a equipa Zoth ativou imediatamente o seu protocolo de resposta a emergências e associou-se à empresa de segurança blockchain Crystal Blockchain BV para conduzir uma investigação. Eles também trabalharam em estreita colaboração com os parceiros emissores de ativos para garantir aproximadamente 73% do TVL da plataforma. Num comunicado público, a Zoth anunciou um programa de recompensas de $500,000 por bugs para incentivar informações que possam ajudar a recuperar os fundos roubados.

Até 31 de março, os ativos roubados permanecem em grande parte inalterados e estão concentrados em dois endereços de carteira (com um total de 4.223 ETH). A equipe implantou sistemas de monitorização on-chain e colabora com empresas globais de análise blockchain, plataformas Web2 e agências de aplicação da lei para rastrear os movimentos do atacante. A Zoth comprometeu-se a divulgar um relatório completo post-mortem e um plano de recuperação e reconstrução assim que a investigação estiver concluída.

Recomendações pós-incidente:

• Reforçar o Núcleo dos Privilégios e Atualizar a Gestão: Este incidente resultou da compromisso da chave privada do implementador, o que permitiu uma atualização maliciosa do contrato revelando vulnerabilidades críticas no controlo de privilégios e no processo de atualização. Daqui em diante, é recomendável adotar carteiras multi-assinatura, implementar permissões de acesso em camadas, estabelecer mecanismos de listagem branca para atualizações e fazer cumprir procedimentos de auditoria de segurança ou de governação on-chain para garantir a segurança das atualizações.
• Implementar Monitorização em Tempo Real e Controlos de Risco Automatizados: A saída rápida de fundos indicou uma falta de deteção atempada. A plataforma deve implementar monitorização de transações em tempo real, sistemas de alerta de ataque e mecanismos de congelamento de ativos on-chain para reduzir a janela de resposta em futuros ataques.
• Melhorar a Custódia de Ativos e a Lógica de Controlo de Acesso: A retirada bem-sucedida de cofres isolados sugere controlo de acesso insuficiente no mecanismo de custódia. Para garantir que os contratos-chave de ativos são protegidos por múltiplas camadas de controlos de risco, restrições dinâmicas de chamadas, deteção de comportamento anormal e validação de caminho de transações devem ser introduzidos.
• Institucionalizar a Resposta de Emergência e Colaboração entre Equipas: A equipa respondeu rapidamente coordenando com empresas de segurança e autoridades policiais, emitindo atualizações de progresso e lançando um programa de recompensas, estabilizando eficazmente a situação. Para incidentes futuros, um protocolo padronizado de resposta de emergência deve ser adotado, cobrindo cinco fases-chave: monitorização, alerta, congelamento, investigação e comunicação, com um compromisso com a transparência contínua.

Resumo

Em março de 2025, vários projetos DeFi sofreram violações de segurança, resultando em dezenas de milhões de dólares em perdas. Dois incidentes notáveis— a exploração de vulnerabilidades em contratos inteligentes no 1inch e o ataque de escalonamento de privilégios no Zoth— novamente destacaram riscos sistêmicos, como exposição a contratos legados, privilégios administrativos centralizados, mecanismos de atualização falhos e estruturas de resposta a riscos insuficientes. Enquanto o 1inch conseguiu recuperar a maior parte dos fundos roubados por meio de negociações rápidas com o atacante, e o Zoth agiu rapidamente para iniciar a colaboração entre equipes e proteger 73% de seus ativos, ambos os casos revelaram áreas para melhorias em estruturas de governança, controle de acesso, auditoria de segurança e monitoramento em tempo real em muitos protocolos DeFi.

Estes incidentes sublinham a importância da implementação de sistemas de monitorização on-chain, mecanismos automatizados de congelamento de ativos e estruturas de incentivo para divulgações de gray-hat. Para que os projetos DeFi mantenham a confiança dos usuários a longo prazo, a segurança deve ser tratada como um elemento de design fundamental desde o início, e não como uma reflexão posterior. A Gate.io lembra aos usuários para se manterem informados sobre desenvolvimentos de segurança e proteger ativamente seus ativos pessoais.


Referências:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Investigação Gate
A Gate Research é uma plataforma abrangente de pesquisa em blockchain e criptomoedas que fornece conteúdo detalhado. Isso inclui análise técnica, insights sobre tópicos quentes, revisões de mercado, pesquisa setorial, previsões de tendências e análise de políticas macroeconômicas.

Clique aquivisitar agora

Aviso Legal
Investir no mercado de criptomoedas envolve alto risco, e é recomendável que os utilizadores conduzam investigação independente e compreendam totalmente a natureza dos ativos e produtos que estão a adquirir antes de tomarem quaisquer decisões de investimento. Gate.io não é responsável por quaisquer perdas ou danos causados por tais decisões de investimento.