Learn
Gate 研究院:2025 年第三期安全事件总结

Gate 研究院:2025 年第三期安全事件总结

进阶
安全研究院
4/7/2025, 5:16:28 AM
Gate 研究院报告指出:2025 年 3 月 1 日至 3 月 30 日,Web3 行业发生了 8 起安全事件,损失总额为 1,443 万美元,较上月大幅下降。本月的安全事件主要涉及合约漏洞、账号被黑等攻击方法,占加密行业安全事件总事件的 62.5%。本月的重大事件包括 1inch 遭遇合约漏洞攻击(损失 500 万美元,已追回九成)、Zoth 遭遇两次攻击,分别为合约漏洞与私钥泄漏(累计损失达 857.5 万美元)。以安全事件各链分布来看,本月仅有一个项目的损失发生在公链 BSC 。

Gate 研究院最新 Web3 行业安全报告,根据 Slowmist 数据,2025 年 3 月,共发生了 8 起安全事件,损失总额约为 1,443 万美元。事件类型多样化,其中因帐号被黑与合约漏洞导致的事件数量最多,占比 62.5%。报告对关键安全事件进行了详细分析,包括 1inch 遭遇合约漏洞攻击、Zoth 遭遇合约漏洞与私钥泄漏。帐户黑客攻击与合约漏洞被确定为本月的主要安全风险,突显了行业不断加强安全措施的必要性。

摘要

  • 2025 年 3 月,Web3 行业发生了 8 起安全事件,损失总额为 1,443 万美元,较上月大幅下降。
  • 本月的安全事件主要涉及合约漏洞、账号被黑等攻击方法,占加密行业安全事件总事件的 62.5%。
  • 本月的重大事件包括 1inch 遭遇合约漏洞攻击(损失 500 万美元,已追回九成)、Zoth 遭遇两次攻击,分别为合约漏洞与私钥泄漏(累计损失达 857.5 万美元)。
  • 以安全事件各链分布来看,本月仅有一个项目的损失发生在公链 BSC 。

安全事件概述

根据 Slowmist 数据,截止 2025 年 3 月 1 日至 3 月 30 日,记录了 8 起安全事件,损失总额为 1,443 万美元。攻击主要涉及合约漏洞、帐号黑客攻击和其他方法。与 2025 年 2 月份相比,总损失金额环比下降 99%。合约漏洞与账号被黑是攻击的主要原因,共出现 5 次相关的黑客攻击,占总数的 62.5%。官方 X 帐户仍然是黑客的主要目标。【1】

本月仅有 BSC 公链发生安全事件,Four.Meme 项目损失超 18 万美元,显示 BSC 生态在智能合约审计、风控机制和链上监测方面仍有持续优化的空间。

本月有多个区块链项目遭遇重大安全事故,造成严重的财务损失。其中较为引人注目的事件包括 RWA 质押平台 Zoth 接连遭受两次攻击,一次因黑客攻击损失 829 万美元,另一次因合约漏洞损失 28.5 万美元;此外,DEX 聚合器 1inch 也因合约漏洞损失 500 万美元。

三月的重大安全事件

根据官方披露,以下项目 3 月份遭受的损失超过 1,350 万美元。私钥泄漏和合约漏洞是两个最主要的威胁。

  • 1inch 遭遇 500 万美元资金的损失,攻击者利用 1inch 旧版 Fusion v1 合约漏洞,盗取约 500 万美元的 USDC 与 wETH,所涉资金来自解析器而非用户资产。
  • Zoth 共遭遇两次攻击,累计损失达 857.5 万美元,3 月 6 日,因抵押计算漏洞造成约 28.5 万美元损失;3 月 21 日黑客获取管理员权限升级合约为恶意版本,盗走约 829 万美元的 USD0++,最终转为 4,223 枚 ETH。

1inch

项目概况:1inch 是一个去中心化交易聚合器,旨在通过智能算法在多个去中心化交易所中为用户寻找最优价格路径,从而提升交易效率和资金利用率。根据官网数据,1inch 已整合超过 320 万个流动性来源,累计交易总额超过 5,960 亿美元,拥有超过 2,170 万用户,执行了超过 1.34 亿笔交易。【2】

事件概况:
1inch 于 3 月 5 日因旧版 Fusion v1 合约存在漏洞,损失约 500 万美元。攻击者利用该漏洞盗取了约 500 万美元的 USDC 与 wETH,所涉资金属于解析器(即代表用户执行订单的实体),并非终端用户资产。根据事后调查,该漏洞存在于过时的智能合约中,攻击者通过精心构造的交易路径调用相关函数,从解析器处转移资金,而当前版本的合约并无该漏洞。

根据 Decurity 的事后报告,1inch 团队在事件发生后与黑客展开协商,大部分被盗资金已被归还(目前已追回九成),黑客保留了一部分作为漏洞赏金。此次攻击主要影响的是未及时升级的旧版解析器,普通用户资产未受到直接影响,也未出现大规模用户资金外流的情况。该事件凸显了对旧版合约及时清理及升级的重要性。【3】【4】【5】

事故后反思:

  • 强化旧版本合约管理与权限控制:对已弃用的智能合约(如 Fusion v1)应采取彻底下线、权限冻结或强制迁移措施,防止因兼容性保留带来潜在攻击面。同时,完善访问控制逻辑,加强调用来源验证与权限限制,防止非预期的调用路径被利用。
  • 完善审计流程与范围:将核心合约相关的外围模块(如 resolver)纳入正式审计范围,明确各组件的风险边界。在代码结构重构、语言升级或接口变更后,须重新触发审计流程,并保留旧版本风控记录。
  • 建设实时监控与应急响应体系:部署链上安全监测系统,实时捕捉异常交易行为,并设立快速响应机制(如权限冻结、应急沟通、风控回滚方案),减少资金损失时间窗口。
  • 建立正向激励机制,鼓励白帽协作:通过漏洞赏金制度与灰帽黑客协商机制,引导潜在攻击者以负责任的方式报告安全隐患,有助于提升项目整体安全防护水平。

Zoth

项目概况:Zoth 是一家基于以太坊的 RWA 再质押平台,透过资产代币化连接传统金融与 DeFi 生态。用户可质押合规的现实世界资产,获取链上收益并参与再质押机制,以提升资本效率。根据官网数据,Zoth 总锁仓价值达 3,540 万美元,已注册资产达 2.5 亿美元,显示其在链上与传统金融间建立起稳固桥梁,并通过与多家 RWA 发行商及流动性协议合作,持续扩展再质押生态。【6】

事件概况:
Zoth 于 2025 年 3 月遭遇两起严重安全事件,累计损失约 857.5 万美元。

  • 3 月 6 日,Zoth 平台因抵押逻辑存在设计缺陷,导致黑客能够利用合约中对抵押价值计算不严谨的判断机制,在无需满足实际抵押率的情况下提取超额资金。攻击者通过多次调用相关函数,绕过抵押校验逻辑,成功提取约 28.5 万美元的资产。此次事件暴露了合约内部对资产估值、抵押率设定与边界条件校验的不足。
  • 3 月 21 日,Zoth 再次发生一起预谋性极高的攻击事件。攻击者在多次尝试失败后,成功获取部署者账户的控制权,并通过恶意代理合约升级,将协议核心逻辑替换为可执行未经授权操作的恶意版本。攻击者借此提取隔离金库中抵押的 USD0++ 资产,总计盗走约 845 万枚 USD0++,并迅速兑换为 DAI 后转为 4,223 枚 ETH,折合约 829 万美元。

事件发生后,Zoth 团队立即启动紧急响应机制,联合区块链安全机构 Crystal Blockchain BV 展开调查,并协同 Asset Issuer 合作方保护住平台约 73% 的 TVL。此外,Zoth 团队已发布公开声明,设立 50 万美元的漏洞悬赏计划,用于激励协助追回资金的有效线索。

截至 3 月 31 日,攻击者资金尚未大规模移动,主要集中于两个钱包地址(共计 4,223 ETH),团队已部署链上监控系统,并与全球链上分析公司、Web2 平台及执法单位密切合作,全力追踪攻击者链上足迹。Zoth 承诺将于调查结束后公布完整复盘报告,并同步释出平台资产追回与重建计划。【7】【8】【9】

事故后反思:

  • 加强核心权限与合约升级管理:此次事件源于部署者私钥被攻破并执行恶意升级,暴露出权限控制与升级流程的重大隐患。建议未来采用多签机制、权限分层、升级白名单机制,并建立链上治理或安全审计流程确保升级安全。
  • 建立实时监控与自动化风控体系:资金被迅速转出显示监控响应不及时,未来应部署链上交易监控、攻击预警系统与资产冻结机制,以缩短攻击发现与响应时间窗口。
  • 优化资产托管与访问控制逻辑:隔离金库被调用说明托管机制缺乏调用权限限制,建议引入动态调用限制、异常行为检测与路径校验机制,确保关键资产合约具备多重风控保护。
  • 制度化应急响应与跨团队协作机制:事件后团队迅速联动安全机构与执法单位、公布进度并设立悬赏金,有效稳住局面。建议将应急响应标准流程化,涵盖监控、通报、冻结、调查与沟通五个阶段,并持续对外公开透明。

小结

2025 年 3 月,多个 DeFi 遭遇安全漏洞攻击,总计损失数千万美元的资产。DeFi 领域两起典型安全事件——1inch 智能合约漏洞攻击与 Zoth 权限升级攻击,再次凸显出旧版合约遗留、核心权限集中、升级机制缺陷与风控响应不足等系统性风险。尽管 1inch 在事件后快速与攻击者协商追回大部分资金,Zoth 也迅速启动跨团队协作并保全 73% 资产,但两起事件也显示出当前部分 DeFi 项目在治理机制、权限管理、安全审计与实时监控等方面仍有进一步优化空间。

这几起安全事件也进一步强调了建立链上监控机制、自动冻结流程、灰帽激励制度的重要性,未来 DeFi 项目若要获得用户持续信任,必须从系统设计阶段就将安全视为核心工程要素,而非事后补救措施。Gate.io 提醒用户关注安全动态,并加强个人资产保护。


参考资料:

  1. Slowmist,https://hacked.slowmist.io/
  2. 1inch,https://1inch.io/
  3. X,https://x.com/SlowMist_Team/status/1897958914114879656
  4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
  5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
  6. Zoth,https://zoth.io/
  7. X,https://x.com/zothdotio/status/1906343855181701342
  8. X,https://x.com/CyversAlerts/status/1903021017460600885
  9. X,https://x.com/PeckShieldAlert/status/1903040662829768994



Gate 研究院
Gate 研究院是一个全面的区块链和加密货币研究平台,为读者提供深度内容,包括技术分析、热点洞察、市场回顾、行业研究、趋势预测和宏观经济政策分析。

点击链接立即前往

免责声明
加密货币市场投资涉及高风险,建议用户在做出任何投资决定之前进行独立研究并充分了解所购买资产和产品的性质。 Gate.io 不对此类投资决策造成的任何损失或损害承担责任。

Author: Shirley
Translator: Sonia
Reviewer(s): Addie、Evelyn、Mark
Translation Reviewer(s): Ashley、Joyce
* The information is not intended to be and does not constitute financial advice or any other recommendation of any sort offered or endorsed by Gate.io.
* This article may not be reproduced, transmitted or copied without referencing Gate.io. Contravention is an infringement of Copyright Act and may be subject to legal action.

Share

Content

摘要

安全事件概述

三月的重大安全事件

小结

Gate 研究院:2025 年第三期安全事件总结

进阶4/7/2025, 5:16:28 AM
Gate 研究院报告指出:2025 年 3 月 1 日至 3 月 30 日,Web3 行业发生了 8 起安全事件,损失总额为 1,443 万美元,较上月大幅下降。本月的安全事件主要涉及合约漏洞、账号被黑等攻击方法,占加密行业安全事件总事件的 62.5%。本月的重大事件包括 1inch 遭遇合约漏洞攻击(损失 500 万美元,已追回九成)、Zoth 遭遇两次攻击,分别为合约漏洞与私钥泄漏(累计损失达 857.5 万美元)。以安全事件各链分布来看,本月仅有一个项目的损失发生在公链 BSC 。
安全研究院

摘要

安全事件概述

三月的重大安全事件

小结

Gate 研究院最新 Web3 行业安全报告,根据 Slowmist 数据,2025 年 3 月,共发生了 8 起安全事件,损失总额约为 1,443 万美元。事件类型多样化,其中因帐号被黑与合约漏洞导致的事件数量最多,占比 62.5%。报告对关键安全事件进行了详细分析,包括 1inch 遭遇合约漏洞攻击、Zoth 遭遇合约漏洞与私钥泄漏。帐户黑客攻击与合约漏洞被确定为本月的主要安全风险,突显了行业不断加强安全措施的必要性。

摘要

  • 2025 年 3 月,Web3 行业发生了 8 起安全事件,损失总额为 1,443 万美元,较上月大幅下降。
  • 本月的安全事件主要涉及合约漏洞、账号被黑等攻击方法,占加密行业安全事件总事件的 62.5%。
  • 本月的重大事件包括 1inch 遭遇合约漏洞攻击(损失 500 万美元,已追回九成)、Zoth 遭遇两次攻击,分别为合约漏洞与私钥泄漏(累计损失达 857.5 万美元)。
  • 以安全事件各链分布来看,本月仅有一个项目的损失发生在公链 BSC 。

安全事件概述

根据 Slowmist 数据,截止 2025 年 3 月 1 日至 3 月 30 日,记录了 8 起安全事件,损失总额为 1,443 万美元。攻击主要涉及合约漏洞、帐号黑客攻击和其他方法。与 2025 年 2 月份相比,总损失金额环比下降 99%。合约漏洞与账号被黑是攻击的主要原因,共出现 5 次相关的黑客攻击,占总数的 62.5%。官方 X 帐户仍然是黑客的主要目标。【1】

本月仅有 BSC 公链发生安全事件,Four.Meme 项目损失超 18 万美元,显示 BSC 生态在智能合约审计、风控机制和链上监测方面仍有持续优化的空间。

本月有多个区块链项目遭遇重大安全事故,造成严重的财务损失。其中较为引人注目的事件包括 RWA 质押平台 Zoth 接连遭受两次攻击,一次因黑客攻击损失 829 万美元,另一次因合约漏洞损失 28.5 万美元;此外,DEX 聚合器 1inch 也因合约漏洞损失 500 万美元。

三月的重大安全事件

根据官方披露,以下项目 3 月份遭受的损失超过 1,350 万美元。私钥泄漏和合约漏洞是两个最主要的威胁。

  • 1inch 遭遇 500 万美元资金的损失,攻击者利用 1inch 旧版 Fusion v1 合约漏洞,盗取约 500 万美元的 USDC 与 wETH,所涉资金来自解析器而非用户资产。
  • Zoth 共遭遇两次攻击,累计损失达 857.5 万美元,3 月 6 日,因抵押计算漏洞造成约 28.5 万美元损失;3 月 21 日黑客获取管理员权限升级合约为恶意版本,盗走约 829 万美元的 USD0++,最终转为 4,223 枚 ETH。

1inch

项目概况:1inch 是一个去中心化交易聚合器,旨在通过智能算法在多个去中心化交易所中为用户寻找最优价格路径,从而提升交易效率和资金利用率。根据官网数据,1inch 已整合超过 320 万个流动性来源,累计交易总额超过 5,960 亿美元,拥有超过 2,170 万用户,执行了超过 1.34 亿笔交易。【2】

事件概况:
1inch 于 3 月 5 日因旧版 Fusion v1 合约存在漏洞,损失约 500 万美元。攻击者利用该漏洞盗取了约 500 万美元的 USDC 与 wETH,所涉资金属于解析器(即代表用户执行订单的实体),并非终端用户资产。根据事后调查,该漏洞存在于过时的智能合约中,攻击者通过精心构造的交易路径调用相关函数,从解析器处转移资金,而当前版本的合约并无该漏洞。

根据 Decurity 的事后报告,1inch 团队在事件发生后与黑客展开协商,大部分被盗资金已被归还(目前已追回九成),黑客保留了一部分作为漏洞赏金。此次攻击主要影响的是未及时升级的旧版解析器,普通用户资产未受到直接影响,也未出现大规模用户资金外流的情况。该事件凸显了对旧版合约及时清理及升级的重要性。【3】【4】【5】

事故后反思:

  • 强化旧版本合约管理与权限控制:对已弃用的智能合约(如 Fusion v1)应采取彻底下线、权限冻结或强制迁移措施,防止因兼容性保留带来潜在攻击面。同时,完善访问控制逻辑,加强调用来源验证与权限限制,防止非预期的调用路径被利用。
  • 完善审计流程与范围:将核心合约相关的外围模块(如 resolver)纳入正式审计范围,明确各组件的风险边界。在代码结构重构、语言升级或接口变更后,须重新触发审计流程,并保留旧版本风控记录。
  • 建设实时监控与应急响应体系:部署链上安全监测系统,实时捕捉异常交易行为,并设立快速响应机制(如权限冻结、应急沟通、风控回滚方案),减少资金损失时间窗口。
  • 建立正向激励机制,鼓励白帽协作:通过漏洞赏金制度与灰帽黑客协商机制,引导潜在攻击者以负责任的方式报告安全隐患,有助于提升项目整体安全防护水平。

Zoth

项目概况:Zoth 是一家基于以太坊的 RWA 再质押平台,透过资产代币化连接传统金融与 DeFi 生态。用户可质押合规的现实世界资产,获取链上收益并参与再质押机制,以提升资本效率。根据官网数据,Zoth 总锁仓价值达 3,540 万美元,已注册资产达 2.5 亿美元,显示其在链上与传统金融间建立起稳固桥梁,并通过与多家 RWA 发行商及流动性协议合作,持续扩展再质押生态。【6】

事件概况:
Zoth 于 2025 年 3 月遭遇两起严重安全事件,累计损失约 857.5 万美元。

  • 3 月 6 日,Zoth 平台因抵押逻辑存在设计缺陷,导致黑客能够利用合约中对抵押价值计算不严谨的判断机制,在无需满足实际抵押率的情况下提取超额资金。攻击者通过多次调用相关函数,绕过抵押校验逻辑,成功提取约 28.5 万美元的资产。此次事件暴露了合约内部对资产估值、抵押率设定与边界条件校验的不足。
  • 3 月 21 日,Zoth 再次发生一起预谋性极高的攻击事件。攻击者在多次尝试失败后,成功获取部署者账户的控制权,并通过恶意代理合约升级,将协议核心逻辑替换为可执行未经授权操作的恶意版本。攻击者借此提取隔离金库中抵押的 USD0++ 资产,总计盗走约 845 万枚 USD0++,并迅速兑换为 DAI 后转为 4,223 枚 ETH,折合约 829 万美元。

事件发生后,Zoth 团队立即启动紧急响应机制,联合区块链安全机构 Crystal Blockchain BV 展开调查,并协同 Asset Issuer 合作方保护住平台约 73% 的 TVL。此外,Zoth 团队已发布公开声明,设立 50 万美元的漏洞悬赏计划,用于激励协助追回资金的有效线索。

截至 3 月 31 日,攻击者资金尚未大规模移动,主要集中于两个钱包地址(共计 4,223 ETH),团队已部署链上监控系统,并与全球链上分析公司、Web2 平台及执法单位密切合作,全力追踪攻击者链上足迹。Zoth 承诺将于调查结束后公布完整复盘报告,并同步释出平台资产追回与重建计划。【7】【8】【9】

事故后反思:

  • 加强核心权限与合约升级管理:此次事件源于部署者私钥被攻破并执行恶意升级,暴露出权限控制与升级流程的重大隐患。建议未来采用多签机制、权限分层、升级白名单机制,并建立链上治理或安全审计流程确保升级安全。
  • 建立实时监控与自动化风控体系:资金被迅速转出显示监控响应不及时,未来应部署链上交易监控、攻击预警系统与资产冻结机制,以缩短攻击发现与响应时间窗口。
  • 优化资产托管与访问控制逻辑:隔离金库被调用说明托管机制缺乏调用权限限制,建议引入动态调用限制、异常行为检测与路径校验机制,确保关键资产合约具备多重风控保护。
  • 制度化应急响应与跨团队协作机制:事件后团队迅速联动安全机构与执法单位、公布进度并设立悬赏金,有效稳住局面。建议将应急响应标准流程化,涵盖监控、通报、冻结、调查与沟通五个阶段,并持续对外公开透明。

小结

2025 年 3 月,多个 DeFi 遭遇安全漏洞攻击,总计损失数千万美元的资产。DeFi 领域两起典型安全事件——1inch 智能合约漏洞攻击与 Zoth 权限升级攻击,再次凸显出旧版合约遗留、核心权限集中、升级机制缺陷与风控响应不足等系统性风险。尽管 1inch 在事件后快速与攻击者协商追回大部分资金,Zoth 也迅速启动跨团队协作并保全 73% 资产,但两起事件也显示出当前部分 DeFi 项目在治理机制、权限管理、安全审计与实时监控等方面仍有进一步优化空间。

这几起安全事件也进一步强调了建立链上监控机制、自动冻结流程、灰帽激励制度的重要性,未来 DeFi 项目若要获得用户持续信任,必须从系统设计阶段就将安全视为核心工程要素,而非事后补救措施。Gate.io 提醒用户关注安全动态,并加强个人资产保护。


参考资料:

  1. Slowmist,https://hacked.slowmist.io/
  2. 1inch,https://1inch.io/
  3. X,https://x.com/SlowMist_Team/status/1897958914114879656
  4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
  5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
  6. Zoth,https://zoth.io/
  7. X,https://x.com/zothdotio/status/1906343855181701342
  8. X,https://x.com/CyversAlerts/status/1903021017460600885
  9. X,https://x.com/PeckShieldAlert/status/1903040662829768994



Gate 研究院
Gate 研究院是一个全面的区块链和加密货币研究平台,为读者提供深度内容,包括技术分析、热点洞察、市场回顾、行业研究、趋势预测和宏观经济政策分析。

点击链接立即前往

免责声明
加密货币市场投资涉及高风险,建议用户在做出任何投资决定之前进行独立研究并充分了解所购买资产和产品的性质。 Gate.io 不对此类投资决策造成的任何损失或损害承担责任。

Author: Shirley
Translator: Sonia
Reviewer(s): Addie、Evelyn、Mark
Translation Reviewer(s): Ashley、Joyce
* The information is not intended to be and does not constitute financial advice or any other recommendation of any sort offered or endorsed by Gate.io.
* This article may not be reproduced, transmitted or copied without referencing Gate.io. Contravention is an infringement of Copyright Act and may be subject to legal action.
Start Now
Sign up and get a
$100
Voucher!