O relatório de segurança mais recente da Gate Research sobre a indústria Web3, com base em dados da SlowMist, registrou oito incidentes de segurança em março de 2025, resultando em perdas totais de aproximadamente $14.43 milhões. Os incidentes variaram em tipo, com hacks de contas e vulnerabilidades de contratos inteligentes representando a maioria, 62.5% do total. O relatório fornece uma análise detalhada dos principais eventos, incluindo o ataque de vulnerabilidade de contrato inteligente no 1inch e o incidente Zoth envolvendo falhas de contrato e vazamento de chaves privadas. Violações de contas e vulnerabilidades de contratos foram identificadas como as principais ameaças de segurança do mês, destacando a necessidade contínua de medidas de segurança aprimoradas em toda a indústria.

Abstrato

• Em março de 2025, a indústria Web3 experimentou oito incidentes de segurança, resultando em perdas totais de $14.43 milhões - uma queda significativa em comparação com o mês anterior.
• A maioria desses incidentes envolveu métodos de ataque como vulnerabilidades de contratos inteligentes e violações de contas, que juntos representaram 62,5% de todos os casos de segurança na indústria de criptomoedas.
• Os principais incidentes deste mês incluíram uma exploração de vulnerabilidade de contrato inteligente visando a 1inch (resultando em $5 milhões em perdas, dos quais 90% foram recuperados) e dois ataques separados ao Zoth—um envolvendo uma vulnerabilidade de contrato e o outro um vazamento de chave privada—levando a uma perda combinada de $8.575 milhões.
• Em relação à distribuição de blockchain, apenas um projeto sofreu perdas na cadeia pública BSC neste mês.

Visão Geral do Incidente de Segurança

De acordo com dados da SlowMist, oito incidentes de segurança foram registrados entre 1º de março e 30 de março de 2025, resultando em perdas totais de aproximadamente $14.43 milhões. Os ataques envolveram principalmente vulnerabilidades de contratos inteligentes, comprometimento de contas e outros métodos de exploração. Em comparação com fevereiro de 2025, a perda total caiu 99% mês a mês. Falhas em contratos inteligentes e contas hackeadas foram as principais causas desses ataques, com cinco incidentes desse tipo representando 62.5%. As contas oficiais X (anteriormente Twitter) continuam sendo alvos principais de hackers.[1]

Este mês, o único incidente de segurança em uma blockchain pública ocorreu na BSC, onde Four.meme sofreu perdas de mais de $180,000. Isso destaca a necessidade de melhorias contínuas na auditoria de contratos inteligentes, mecanismos de controle de riscos e monitoramento on-chain dentro do ecossistema da BSC.

Vários projetos de blockchain enfrentaram grandes violações de segurança neste mês, resultando em danos financeiros significativos. Um dos mais notáveis foi a plataforma de staking RWA Zoth, que sofreu dois ataques separados: um envolvendo um hack que resultou em perdas de $8,29 milhões e outro devido a uma vulnerabilidade do contrato inteligente que causou $285.000 em danos. Além disso, o agregador DEX 1inch perdeu $5 milhões devido a uma vulnerabilidade do contrato.

Principais Incidentes de Segurança em Março

De acordo com divulgações oficiais, mais de $13.5 milhões em perdas foram relatados de importantes violações de segurança em março. As principais ameaças foram vazamentos de chaves privadas e vulnerabilidades de contratos inteligentes.

• Os atacantes exploraram uma vulnerabilidade no contrato desatualizado Fusion v1, roubando cerca de $5 milhões em USDC e wETH. Os fundos foram retirados dos resolvedores, não diretamente das carteiras dos usuários finais.
• A plataforma de staking RWA Zoth sofreu dois incidentes de segurança em março: em 6 de março, uma falha de cálculo de garantia resultou em uma perda de aproximadamente $285.000; em 21 de março, um hacker obteve privilégios de administrador e atualizou o contrato para uma versão maliciosa, roubando cerca de $8,29 milhões em USD0++, que eventualmente foi convertido em 4.223 ETH.

1inch

Visão Geral do Projeto: 1inch é um agregador de troca descentralizada (DEX) que utiliza algoritmos inteligentes para identificar rotas de negociação ótimas em vários DEXs, melhorando a eficiência de negociação e uso de capital. De acordo com seu site oficial, 1inch integrou mais de 3,2 milhões de fontes de liquidez, facilitou mais de $596 bilhões em volume de negociação cumulativo e atendeu mais de 21,7 milhões de usuários através de mais de 134 milhões de transações.[2]

Visão Geral do Incidente：

Em 5 de março, uma vulnerabilidade no contrato inteligente legado Fusion v1 levou à perda de aproximadamente US$ 5 milhões. O atacante criou um caminho de transação maliciosa para explorar o contrato desatualizado e drenou fundos - especificamente USDC e wETH - dos resolvers em vez de usuários individuais. Investigações pós-incidente revelaram que a vulnerabilidade existia apenas nos contratos inteligentes desatualizados. Ao criar um caminho de transação específico, o atacante invocou funções que transferiram fundos do resolver. A versão atual do contrato não contém essa vulnerabilidade.

Segundo uma análise pós-incidente da Decurity, a equipe da 1inch entrou em negociações com o atacante. Atualmente, cerca de 90% dos fundos roubados foram recuperados, sendo o restante retido pelo atacante como recompensa por bugs. O ataque afetou principalmente resolvers legados que não foram atualizados. Nenhum ativo direto do usuário foi afetado, e não foi detectada nenhuma saída significativa das carteiras dos usuários. Esse incidente destacou a necessidade crítica de depreciar e atualizar contratos desatualizados de maneira oportuna.

Recomendações pós-incidente:

• Fortalecer a Gestão de Contratos Legados e Controles de Acesso: Os contratos inteligentes obsoletos (como o Fusion v1) devem ser totalmente desativados, com permissões congeladas ou forçadamente migradas, para eliminar possíveis superfícies de ataque deixadas para compatibilidade reversa. A lógica de controle de acesso também deve ser aprimorada verificando as fontes de chamada e impondo verificações de permissão mais rigorosas para evitar a exploração por meio de caminhos de chamada não intencionais.
• Melhorar os Processos e a Cobertura de Auditoria: Os módulos periféricos relacionados aos contratos principais (por exemplo, resolvers) devem ser incluídos nos escopos de auditoria formais, com limites de risco claramente definidos para cada componente. Qualquer refatoração estrutural, atualizações de linguagem ou mudanças de interface devem acionar processos de reauditoria, e as avaliações de risco históricas para versões legadas devem ser mantidas.
• Construa Sistemas de Monitoramento em Tempo Real e de Resposta a Emergências: Sistemas de monitoramento de segurança on-chain devem ser implementados para detectar comportamentos de transações anormais em tempo real. Um mecanismo de resposta rápida - como congelamento de permissão, canais de comunicação de emergência e estratégias de rollback - deve estar em vigor para minimizar a janela de tempo para perda de ativos.
• Estabelecer mecanismos de incentivo para encorajar a colaboração White-Hat: Programas de recompensa por bugs e acordos de divulgação responsável com hackers gray-hat podem incentivar a denúncia ética de vulnerabilidades, contribuindo para uma postura de segurança geral mais forte para o projeto.

Zoth

Visão Geral do Projeto: Zoth é uma plataforma de restaking RWA baseada em Ethereum que conecta finanças tradicionais e o ecossistema DeFi através da tokenização de ativos. Permite aos usuários apostar ativos do mundo real em conformidade para ganhar rendimentos on-chain e participar de mecanismos de restaking para maior eficiência de capital. De acordo com seu site oficial, a Zoth tem um valor total bloqueado (TVL) de $35.4 milhões e mais de $250 milhões em ativos registrados — demonstrando sua forte presença na interseção entre sistemas financeiros on-chain e tradicionais. A plataforma continua a expandir seu ecossistema de restaking por meio de parcerias com emissores RWA e protocolos de liquidez.

Visão geral do incidente:

Em março de 2025, Zoth sofreu dois grandes breaches de segurança, resultando em perdas totais de aproximadamente $8.575 milhões.

• 6 de março: Uma falha de design na lógica de garantia da Zoth permitiu que os atacantes explorassem cálculos imprecisos no processo de valoração de garantia do contrato. O atacante burlou as verificações de validação de garantia invocando repetidamente funções específicas e extraindo aproximadamente US$ 285.000 em fundos excedentes. Este incidente revelou fraquezas na forma como o contrato lidava com a valoração de ativos, os limites de proporção de garantia e as condições de fronteira.
• 21 de março: Zoth foi alvo novamente em um ataque altamente coordenado e premeditado. Após várias tentativas fracassadas, o atacante obteve com sucesso o controle da conta do deployer e a utilizou para atualizar o protocolo via um contrato de proxy para uma versão maliciosa. Essa atualização deu ao atacante controle total sobre a lógica do contrato, permitindo que eles esvaziassem cofres isolados contendo tokens colateralizados USD0++. O atacante roubou aproximadamente 845 milhões de USD0++, que rapidamente trocaram por DAI e converteram em 4.223 ETH - equivalente a cerca de $8,29 milhões.

Após os incidentes, a equipe da Zoth ativou imediatamente seu protocolo de resposta a emergências e se associou à empresa de segurança blockchain Crystal Blockchain BV para conduzir uma investigação. Eles também trabalharam em estreita colaboração com parceiros emissores de ativos para garantir aproximadamente 73% do TVL da plataforma. Em um comunicado público, a Zoth anunciou um programa de recompensa de bugs de $500.000 para incentivar informações que possam ajudar a recuperar os fundos roubados.

Até 31 de março, os ativos roubados permanecem em grande parte inalterados e estão concentrados em dois endereços de carteira (detendo um total de 4.223 ETH). A equipe implantou sistemas de monitoramento on-chain e colabora com empresas globais de análise de blockchain, plataformas Web2 e agências de aplicação da lei para rastrear os movimentos do atacante. Zoth comprometeu-se a divulgar um relatório completo pós-mortem e um plano de recuperação e reconstrução assim que a investigação estiver completa. [7] [8] [9]

Recomendações pós-incidente:

• Fortalecer o Privilégio do Núcleo e Atualizar a Gestão: Este incidente derivou da comprometimento da chave privada do implementador, o que permitiu uma atualização maliciosa do contrato, revelando vulnerabilidades críticas no controle de privilégios e no processo de atualização. Daqui para frente, é recomendável adotar carteiras de múltiplas assinaturas, implementar permissões de acesso em camadas, estabelecer mecanismos de listagem branca de atualizações e fazer cumprir procedimentos de auditoria de segurança ou governança on-chain para garantir a segurança das atualizações.
• Implementar Monitoramento em Tempo Real e Controles Automatizados de Risco: A rápida saída de fundos indicou uma falta de detecção oportuna. A plataforma deve implantar monitoramento de transações em tempo real, sistemas de alerta de ataque e mecanismos de congelamento de ativos on-chain para reduzir a janela de resposta em futuros ataques.
• Melhore a Custódia de Ativos e a Lógica de Controle de Acesso: A retirada bem-sucedida de cofres isolados sugere um controle de acesso insuficiente dentro do mecanismo de custódia. Para garantir que os contratos-chave de ativos sejam protegidos por múltiplas camadas de controles de risco, restrições de chamadas dinâmicas, detecção de comportamento anormal e validação de caminho de transação devem ser introduzidas.
• Institucionalizar Resposta de Emergência e Colaboração entre Equipes: A equipe respondeu rapidamente coordenando-se com empresas de segurança e autoridades policiais, emitindo atualizações de progresso e lançando um programa de recompensas, estabilizando efetivamente a situação. Para incidentes futuros, um protocolo padronizado de resposta de emergência deve ser adotado, cobrindo cinco etapas-chave: monitoramento, alerta, congelamento, investigação e comunicação, com o compromisso de transparência contínua.

Resumo

Em março de 2025, vários projetos DeFi sofreram violações de segurança, resultando em dezenas de milhões de dólares em perdas. Dois incidentes notáveis — a exploração de vulnerabilidades de contrato inteligente na 1inch e o ataque de escalonamento de privilégios na Zoth — destacaram novamente riscos sistêmicos, como exposição a contratos legados, privilégios administrativos centralizados, mecanismos de atualização falhos e estruturas de resposta a riscos insuficientes. Enquanto a 1inch conseguiu recuperar a maior parte dos fundos roubados por meio de negociações rápidas com o atacante, e a Zoth agiu rapidamente para iniciar colaboração entre equipes e proteger 73% de seus ativos, ambos os casos revelaram áreas de melhoria em estruturas de governança, controle de acesso, auditoria de segurança e monitoramento em tempo real em muitos protocolos DeFi.

Esses incidentes destacam a importância da implementação de sistemas de monitoramento on-chain, mecanismos automatizados de congelamento de ativos e estruturas de incentivo para divulgações de gray-hat. Para os projetos DeFi manterem a confiança do usuário a longo prazo, a segurança deve ser tratada como um elemento de design fundamental desde o início, e não como uma reflexão tardia. A Gate.io lembra aos usuários que se mantenham informados sobre os desenvolvimentos de segurança e protejam ativamente seus ativos pessoais.


Referências:

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Pesquisa Gate
Gate Research é uma plataforma abrangente de pesquisa em blockchain e criptomoedas que oferece conteúdo aprofundado. Isso inclui análise técnica, insights sobre tópicos quentes, avaliações de mercado, pesquisa setorial, previsões de tendências e análise de política macroeconômica.

Clique aquivisitar agora

Aviso Legal
Investir no mercado de criptomoedas envolve alto risco, e é recomendável que os usuários conduzam pesquisas independentes e compreendam completamente a natureza dos ativos e produtos que estão adquirindo antes de tomar quaisquer decisões de investimento. Gate.io não é responsável por quaisquer perdas ou danos causados por tais decisões de investimento.