Последний отчет Gate о безопасности в индустрии Web3 сообщает, что согласно данным Slowmist, в марте 2025 года произошло 8 инцидентов безопасности, общие потери составили около 14,43 миллиона долларов. Типы инцидентов разнообразны, среди которых наибольшее количество случаев связано с взломом аккаунтов и уязвимостями контрактов, что составляет 62,5%. В отчете подробно анализируются ключевые инциденты безопасности, включая атаку на уязвимость контракта 1inch и утечку закрытого ключа у Zoth. Взлом аккаунтов и уязвимости контрактов определены как основные риски безопасности этого месяца, подчеркивающие необходимость постоянного усиления мер безопасности в индустрии.
Резюме
В марте 2025 года в индустрии Web3 произошло 8 инцидентов безопасности, общие убытки составили 14,43 миллиона долларов, что является значительным снижением по сравнению с прошлым месяцем.
В этом месяце основные инциденты безопасности касались уязвимостей контрактов, атак на аккаунты и других методов, составивших 62.5% от общего числа инцидентов безопасности в криптоиндустрии.
В этом месяце важные события включают в себя атаку на 1inch с использованием уязвимости контракта (потеря 5 миллионов долларов, 90% уже возвращено), а также две атаки на Zoth: одна связана с уязвимостью контракта, а другая с утечкой Закрытого ключа (общая потеря составила 8.575 миллионов долларов).
Судя по распределению потерь по блокчейнам в связи с инцидентами безопасности, в этом месяце только один проект понес убытки на публичной сети BSC.
Обзор безопасности
Согласно данным Slowmist, с 1 по 30 марта 2025 года было зафиксировано 8 инцидентов безопасности, общие убытки составили 14,43 миллиона долларов США. Атаки в основном связаны с уязвимостями контрактов, хакерскими атаками на аккаунты и другими методами. По сравнению с февралем 2025 года общая сумма убытков снизилась на 99%. Уязвимости контрактов и взлом аккаунтов стали основными причинами атак, связанных с 5 случаями хакерских атак, что составляет 62,5% от общего числа. Официальные X аккаунты по-прежнему являются главной целью хакеров.【1】
В этом месяце только на публичной цепи BSC произошло событие безопасности, проект Four.Meme потерял более 180000 долларов, что показывает, что экосистема BSC все еще имеет пространство для постоянной оптимизации в области аудита смарт-контрактов, механизмов управления рисками и мониторинга в цепочке.
В этом месяце несколько блокчейн-проектов столкнулись с серьезными инцидентами безопасности, что привело к значительным финансовым потерям. К наиболее заметным событиям относятся два нападения на платформу залога RWA Zoth: одно из них привело к потере 8,29 миллиона долларов из-за хакерской атаки, а другое — к потере 285 тысяч долларов из-за уязвимости контракта; кроме того, DEX-агрегатор 1inch также понес убытки в размере 5 миллионов долларов из-за уязвимости контракта.
##重大安全ные события марта
Согласно официальным данным, убытки от следующих проектов в марте превысили 13,5 миллиона долларов. Утечка закрытого ключа и уязвимости в контракте являются двумя основными угрозами.
1inch потерял 5 миллионов долларов, атакующий использовал уязвимость в старой версии контракта Fusion v1, чтобы украсть около 5 миллионов долларов в USDC и wETH; затронутые средства поступили от парсера, а не от пользовательских активов.
Zoth подвергся двум атакам, общие убытки составили 8,575,000 долларов. 6 марта из-за уязвимости в расчете залога было потеряно около 285,000 долларов; 21 марта хакер получил права администратора и обновил контракт до вредоносной версии, похитив около 8,290,000 долларов в USD0++, которые в конечном итоге были обменены на 4,223 ETH.
) 1 дюйм
Обзор проекта: 1inch — это децентрализованный агрегатор обмена, который призван повышать эффективность торговли и использование средств, находя для пользователей оптимальные ценовые пути через умные алгоритмы на нескольких децентрализованных биржах. Согласно данным с официального сайта, 1inch интегрировал более 3,2 миллиона источников ликвидности, общий объем торгов превысил 596 миллиардов долларов, а количество пользователей составляет более 21,7 миллиона, было проведено более 134 миллионов сделок. 【2】
Сводка события:
1inch 5 марта из-за уязвимости в старой версии контракта Fusion v1 понесла убытки в размере около 5 миллионов долларов. Хакеры использовали эту уязвимость для кражи около 5 миллионов долларов USDC и wETH, при этом задействованные средства принадлежали парсеру (то есть сущности, представляющей пользователей при выполнении заказов), а не активам конечных пользователей. Согласно послематчевому расследованию, уязвимость существовала в устаревшем смарт-контракте, и хакеры перемещали средства из парсера, вызывая соответствующие функции через тщательно сконструированные торговые пути, тогда как в текущей версии контракта этой уязвимости нет.
Согласно послесловию Decurity, команда 1inch вела переговоры с Хакером после инцидента, большая часть украденных средств была возвращена (на данный момент возвращено 90%), Хакер оставил часть в качестве вознаграждения за уязвимость. Эта атака в основном затронула устаревшие версии парсеров, которые не были своевременно обновлены, активы обычных пользователей не пострадали напрямую, также не было зафиксировано массового вывода средств пользователей. Этот инцидент подчеркивает важность своевременной очистки и обновления устаревших контрактов.
Анализ после инцидента:
Укрепление управления старыми версиями контрактов и контроля доступа: для устаревших смарт-контрактов (например, Fusion v1) необходимо принять меры по их полному отключению, заморозке прав или принудительной миграции, чтобы предотвратить потенциальные уязвимости из-за сохранения совместимости. В то же время, улучшить логику контроля доступа, усилить проверку источников вызовов и ограничения прав, чтобы предотвратить использование неожиданных путей вызова.
Улучшение процесса и объема аудита: Включить периферийные модули (например, resolver), связанные с основным контрактом, в официальную область аудита, четко определить границы рисков для каждого компонента. После рефакторинга структуры кода, обновления языка или изменения интерфейса необходимо повторно инициировать процесс аудита и сохранить записи о рисках старой версии.
Создание системы мониторинга в реальном времени и реагирования на чрезвычайные ситуации: развертывание системы безопасности мониторинга на блокчейне, которая в реальном времени фиксирует аномальное поведение транзакций, а также установление механизма быстрого реагирования (таких как заморозка прав, экстренная связь, планы отката риск-менеджмента), чтобы сократить временные окна потерь средств.
Создание механизма положительного стимулирования, поощряющего сотрудничество белых хакеров: через систему вознаграждений за уязвимости и механизмы переговоров с серыми хакерами, направлять потенциальных атакующих на ответственное сообщение о проблемах безопасности, что способствует повышению общего уровня безопасности проекта.
Зот
Обзор проекта: Zoth является платформой повторного залога RWA на базе Ethereum, соединяющей традиционные финансы и экосистему DeFi через токенизацию активов. Пользователи могут заложить соответствующие требованиям активы реального мира, получать доход на блокчейне и участвовать в механизме повторного залога для повышения эффективности капитала. Согласно данным с официального сайта, общий заблокированный объем Zoth составляет 35,4 миллиона долларов, зарегистрированные активы достигли 250 миллионов долларов, что демонстрирует создание прочного моста между блокчейном и традиционными финансами, а также продолжающееся расширение экосистемы повторного залога через сотрудничество с несколькими эмитентами RWA и ликвидными протоколами.
Сводка событий:
Zoth столкнулся с двумя серьезными инцидентами безопасности в марте 2025 года, общие убытки составили около 8,575 миллиона долларов.
6 марта платформа Zoth столкнулась с проблемой проектирования логики залога, что позволило хакерам использовать нечеткий механизм оценки залоговой стоимости в контракте, чтобы извлекать избыточные средства без необходимости соответствовать фактическому залоговому коэффициенту. Нападающие многократно вызывали соответствующие функции, обходя логику проверки залога, и успешно извлекли активы на сумму около 285 тысяч долларов США. Этот инцидент выявил недостатки в оценке активов, установлении залогового коэффициента и проверке граничных условий внутри контракта.
21 марта произошел еще один высокопреднамеренный инцидент атаки на Zoth. Злоумышленник, после нескольких неудачных попыток, успешно получил контроль над учетной записью развертывателя и, используя вредоносный прокси-контракт, обновил, заменив основную логику протокола на вредоносную версию, позволяющую выполнять несанкционированные действия. Злоумышленник воспользовался этим, чтобы извлечь заложенные в изолированном хранилище активы USD0++, всего было украдено около 8,45 миллиона USD0++, которые были быстро обменены на DAI и затем преобразованы в 4,223 ETH, что составляет примерно 8,29 миллиона долларов.
После инцидента команда Zoth немедленно активировала механизм экстренного реагирования, совместно с блокчейн-безопасной организацией Crystal Blockchain BV начала расследование и сотрудничала с партнерами-эмитентами активов для защиты около 73% TVL платформы. Кроме того, команда Zoth опубликовала открытое заявление, установив программу вознаграждений за уязвимости в размере 500 000 долларов для поощрения эффективных подсказок, помогающих вернуть средства.
По состоянию на 31 марта средства злоумышленника еще не были существенно перемещены, в основном сосредоточены на двух адресах кошельков (всего 4,223 ETH). Команда развернула систему мониторинга на блокчейне и тесно сотрудничает с глобальными аналитическими компаниями по блокчейну, платформами Web2 и правоохранительными органами, чтобы полностью отслеживать следы злоумышленника на блокчейне. Zoth пообещал опубликовать полный отчет по итогам расследования, а также одновременно представить планы по возврату и восстановлению активов платформы.
Рефлексия после инцидента:
Укрепление управления основными правами и обновлениями контрактов: данное событие произошло из-за компрометации закрытого ключа развертывателя и выполнения злонамеренного обновления, что выявило серьезные уязвимости в контроле прав и процессе обновления. Рекомендуется в будущем использовать многофакторную аутентификацию, многоуровневый доступ, механизмы белого списка для обновлений и установить процессы управления на цепочке или аудита безопасности для обеспечения безопасности обновлений.
Создание системы实时 мониторинга и автоматизированного управления рисками: Быстрый вывод средств указывает на недостаточную своевременность мониторинга, в будущем следует развернуть мониторинг транзакций на блокчейне, систему предупреждения об атаках и механизм заморозки активов, чтобы сократить временные окна для обнаружения атак и реагирования.
Оптимизация логики управления активами и контроля доступа: изоляция хранилища, вызываемого в случае отсутствия ограничений на вызов механизма управления, рекомендуется ввести динамические ограничения на вызов, обнаружение аномального поведения и механизмы проверки пути, чтобы гарантировать, что ключевые активные контракты имеют многоуровневую защиту рисков.
Институциональный механизм реагирования на чрезвычайные ситуации и межкомандного сотрудничества: команда быстро связывается с безопасными учреждениями и правоохранительными органами после инцидента, публикует ход событий и устанавливает вознаграждение, эффективно стабилизируя ситуацию. Рекомендуется стандартизировать процесс реагирования на чрезвычайные ситуации, охватывающий пять этапов: мониторинг, уведомление, замораживание, расследование и коммуникация, и продолжать поддерживать открытую и прозрачную информацию для внешней аудитории.
Итог
В марте 2025 года несколько DeFi-проектов подверглись атакам с использованием уязвимостей безопасности, в результате которых было потеряно десятки миллионов долларов активов. Два典型ных инцидента безопасности в области DeFi — атака на уязвимость смарт-контракта 1inch и атака на повышение привилегий Zoth — еще раз подчеркивают системные риски, такие как наследие устаревших контрактов, централизованное управление ключевыми правами, недостатки в механизмах обновления и недостаточная реакция на риски. Несмотря на то, что 1inch быстро провел переговоры с хакером и вернул большую часть средств после инцидента, Zoth также быстро инициировал межкомандное сотрудничество и сохранил 73% активов, однако оба инцидента показывают, что у текущих некоторых DeFi-проектов все еще есть возможности для дальнейшей оптимизации в области механизма управления, управления правами, аудита безопасности и мониторинга в реальном времени.
Эти несколько инцидентов с безопасностью также подчеркивают важность создания механизмов мониторинга на цепочке, автоматизированных процессов заморозки и системы стимулов для серых хакеров. Если проекты DeFi хотят получить устойчивое доверие пользователей в будущем, они должны рассматривать безопасность как ключевой элемент проектирования системы с самого начала, а не как меры по устранению последствий. Gate.io напоминает пользователям о необходимости следить за динамикой безопасности и усиливать защиту своих личных активов.
Gate Исследовательский институт
Gate Исследовательский институт является комплексной платформой для исследований в области блокчейна и криптовалют, предлагая читателям глубокий контент, включая технический анализ, актуальные инсайты, обзор рынка, отраслевые исследования, прогнозы трендов и анализ макроэкономической политики.
Нажмите [链接])https://www.gate.io/learn/category/research(, чтобы перейти немедленно
Отказ от ответственностиИнвестиции на рынке криптовалют сопряжены с высоким риском. Рекомендуется пользователям проводить независимое исследование и полностью понимать природу приобретаемых активов и продуктов перед принятием каких-либо инвестиционных решений. Gate.io не несет ответственности за любые потери или ущерб, возникшие в результате таких инвестиционных решений.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
4 Лайков
Награда
4
7
Поделиться
комментарий
0/400
Mogcoin_
· 13ч назад
1000x Вибрации 🤑
Посмотреть ОригиналОтветить0
April,PalmPrintsOfTi
· 13ч назад
快войти в позицию!🚗
Посмотреть ОригиналОтветить0
April,PalmPrintsOfTi
· 13ч назад
Фирма HODL💎
Посмотреть ОригиналОтветить0
CoinFusion
· 16ч назад
интересно, что у nk довольно криминальная команда
Посмотреть ОригиналОтветить0
GateUser-55bf7b34
· 16ч назад
Давай сделаем это💪
Посмотреть ОригиналОтветить0
GariManu4
· 17ч назад
В последнее время все чаще в новостях пишут только о потерях
Gate Исследовательский институт: Итоги третьего квартала безопасности 2025 года
Последний отчет Gate о безопасности в индустрии Web3 сообщает, что согласно данным Slowmist, в марте 2025 года произошло 8 инцидентов безопасности, общие потери составили около 14,43 миллиона долларов. Типы инцидентов разнообразны, среди которых наибольшее количество случаев связано с взломом аккаунтов и уязвимостями контрактов, что составляет 62,5%. В отчете подробно анализируются ключевые инциденты безопасности, включая атаку на уязвимость контракта 1inch и утечку закрытого ключа у Zoth. Взлом аккаунтов и уязвимости контрактов определены как основные риски безопасности этого месяца, подчеркивающие необходимость постоянного усиления мер безопасности в индустрии.
Резюме
Обзор безопасности
Согласно данным Slowmist, с 1 по 30 марта 2025 года было зафиксировано 8 инцидентов безопасности, общие убытки составили 14,43 миллиона долларов США. Атаки в основном связаны с уязвимостями контрактов, хакерскими атаками на аккаунты и другими методами. По сравнению с февралем 2025 года общая сумма убытков снизилась на 99%. Уязвимости контрактов и взлом аккаунтов стали основными причинами атак, связанных с 5 случаями хакерских атак, что составляет 62,5% от общего числа. Официальные X аккаунты по-прежнему являются главной целью хакеров.【1】
! [](https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/719e7ded8887436f22a9030099ffa21f2c25fa29.webp019283746574839201
В этом месяце только на публичной цепи BSC произошло событие безопасности, проект Four.Meme потерял более 180000 долларов, что показывает, что экосистема BSC все еще имеет пространство для постоянной оптимизации в области аудита смарт-контрактов, механизмов управления рисками и мониторинга в цепочке.
В этом месяце несколько блокчейн-проектов столкнулись с серьезными инцидентами безопасности, что привело к значительным финансовым потерям. К наиболее заметным событиям относятся два нападения на платформу залога RWA Zoth: одно из них привело к потере 8,29 миллиона долларов из-за хакерской атаки, а другое — к потере 285 тысяч долларов из-за уязвимости контракта; кроме того, DEX-агрегатор 1inch также понес убытки в размере 5 миллионов долларов из-за уязвимости контракта.
##重大安全ные события марта
Согласно официальным данным, убытки от следующих проектов в марте превысили 13,5 миллиона долларов. Утечка закрытого ключа и уязвимости в контракте являются двумя основными угрозами.
! [])https://s3.ap-northeast-1.amazonaws.com/gimg.gateimg.com/learn/69aa576703545777f273863b6125b7352c5b67eb.webp(
) 1 дюйм
Обзор проекта: 1inch — это децентрализованный агрегатор обмена, который призван повышать эффективность торговли и использование средств, находя для пользователей оптимальные ценовые пути через умные алгоритмы на нескольких децентрализованных биржах. Согласно данным с официального сайта, 1inch интегрировал более 3,2 миллиона источников ликвидности, общий объем торгов превысил 596 миллиардов долларов, а количество пользователей составляет более 21,7 миллиона, было проведено более 134 миллионов сделок. 【2】
Сводка события: 1inch 5 марта из-за уязвимости в старой версии контракта Fusion v1 понесла убытки в размере около 5 миллионов долларов. Хакеры использовали эту уязвимость для кражи около 5 миллионов долларов USDC и wETH, при этом задействованные средства принадлежали парсеру (то есть сущности, представляющей пользователей при выполнении заказов), а не активам конечных пользователей. Согласно послематчевому расследованию, уязвимость существовала в устаревшем смарт-контракте, и хакеры перемещали средства из парсера, вызывая соответствующие функции через тщательно сконструированные торговые пути, тогда как в текущей версии контракта этой уязвимости нет.
Согласно послесловию Decurity, команда 1inch вела переговоры с Хакером после инцидента, большая часть украденных средств была возвращена (на данный момент возвращено 90%), Хакер оставил часть в качестве вознаграждения за уязвимость. Эта атака в основном затронула устаревшие версии парсеров, которые не были своевременно обновлены, активы обычных пользователей не пострадали напрямую, также не было зафиксировано массового вывода средств пользователей. Этот инцидент подчеркивает важность своевременной очистки и обновления устаревших контрактов.
Анализ после инцидента:
Зот
Обзор проекта: Zoth является платформой повторного залога RWA на базе Ethereum, соединяющей традиционные финансы и экосистему DeFi через токенизацию активов. Пользователи могут заложить соответствующие требованиям активы реального мира, получать доход на блокчейне и участвовать в механизме повторного залога для повышения эффективности капитала. Согласно данным с официального сайта, общий заблокированный объем Zoth составляет 35,4 миллиона долларов, зарегистрированные активы достигли 250 миллионов долларов, что демонстрирует создание прочного моста между блокчейном и традиционными финансами, а также продолжающееся расширение экосистемы повторного залога через сотрудничество с несколькими эмитентами RWA и ликвидными протоколами.
Сводка событий: Zoth столкнулся с двумя серьезными инцидентами безопасности в марте 2025 года, общие убытки составили около 8,575 миллиона долларов.
После инцидента команда Zoth немедленно активировала механизм экстренного реагирования, совместно с блокчейн-безопасной организацией Crystal Blockchain BV начала расследование и сотрудничала с партнерами-эмитентами активов для защиты около 73% TVL платформы. Кроме того, команда Zoth опубликовала открытое заявление, установив программу вознаграждений за уязвимости в размере 500 000 долларов для поощрения эффективных подсказок, помогающих вернуть средства.
По состоянию на 31 марта средства злоумышленника еще не были существенно перемещены, в основном сосредоточены на двух адресах кошельков (всего 4,223 ETH). Команда развернула систему мониторинга на блокчейне и тесно сотрудничает с глобальными аналитическими компаниями по блокчейну, платформами Web2 и правоохранительными органами, чтобы полностью отслеживать следы злоумышленника на блокчейне. Zoth пообещал опубликовать полный отчет по итогам расследования, а также одновременно представить планы по возврату и восстановлению активов платформы.
Рефлексия после инцидента:
Итог
В марте 2025 года несколько DeFi-проектов подверглись атакам с использованием уязвимостей безопасности, в результате которых было потеряно десятки миллионов долларов активов. Два典型ных инцидента безопасности в области DeFi — атака на уязвимость смарт-контракта 1inch и атака на повышение привилегий Zoth — еще раз подчеркивают системные риски, такие как наследие устаревших контрактов, централизованное управление ключевыми правами, недостатки в механизмах обновления и недостаточная реакция на риски. Несмотря на то, что 1inch быстро провел переговоры с хакером и вернул большую часть средств после инцидента, Zoth также быстро инициировал межкомандное сотрудничество и сохранил 73% активов, однако оба инцидента показывают, что у текущих некоторых DeFi-проектов все еще есть возможности для дальнейшей оптимизации в области механизма управления, управления правами, аудита безопасности и мониторинга в реальном времени.
Эти несколько инцидентов с безопасностью также подчеркивают важность создания механизмов мониторинга на цепочке, автоматизированных процессов заморозки и системы стимулов для серых хакеров. Если проекты DeFi хотят получить устойчивое доверие пользователей в будущем, они должны рассматривать безопасность как ключевой элемент проектирования системы с самого начала, а не как меры по устранению последствий. Gate.io напоминает пользователям о необходимости следить за динамикой безопасности и усиливать защиту своих личных активов.
Справочные материалы:
Gate Исследовательский институт Gate Исследовательский институт является комплексной платформой для исследований в области блокчейна и криптовалют, предлагая читателям глубокий контент, включая технический анализ, актуальные инсайты, обзор рынка, отраслевые исследования, прогнозы трендов и анализ макроэкономической политики.
Нажмите [链接])https://www.gate.io/learn/category/research(, чтобы перейти немедленно
Отказ от ответственности Инвестиции на рынке криптовалют сопряжены с высоким риском. Рекомендуется пользователям проводить независимое исследование и полностью понимать природу приобретаемых активов и продуктов перед принятием каких-либо инвестиционных решений. Gate.io не несет ответственности за любые потери или ущерб, возникшие в результате таких инвестиционных решений.