Gate Researchの最新のWeb3業界セキュリティレポートは、SlowMistのデータに基づいており、2025年3月に8件のセキュリティインシデントが記録され、総損失額は約$14.43百万ドルとなりました。インシデントは種類によって異なり、アカウントハックとスマートコントラクトの脆弱性が全体の62.5%を占めています。レポートは、1inchへのスマートコントラクトの脆弱性攻撃や、コントラクトの欠陥と秘密鍵漏洩に関わるZoth事件など、主要なイベントの詳細な分析を提供しています。アカウント侵害と契約の脆弱性が、その月の主要なセキュリティ脅威として特定され、業界全体でセキュリティ対策の強化が引き続き求められています。

抽象的

• 2025年3月、Web3業界では8件のセキュリティインシデントが発生し、前月に比べて合計損失額が1443万ドルに減少しました。
• これらのほとんどは、スマートコントラクトの脆弱性やアカウントの侵害などの攻撃手法に関連する事件であり、これらが暗号業界のセキュリティケース全体の62.5%を占めています。
• 今月の主な出来事には、1inchを標的としたスマートコントラクトの脆弱性の悪用による重大な事件（500万ドルの損失、そのうち90%が回収されました）と、Zothに対する2つの別々の攻撃が含まれています。1つは契約の脆弱性、もう1つは秘密鍵の漏洩に関わるもので、合計で857.5万ドルの損失が発生しました。
• ブロックチェーンの分散に関して、今月、公開チェーンBSCで1つのプロジェクトだけが損失を被りました。

セキュリティインシデントの概要

SlowMistのデータによると、2025年3月1日から3月30日の間に8件のセキュリティインシデントが記録され、合計損失は約1443万ドルに上りました。攻撃は主にスマートコントラクトの脆弱性、アカウントの侵害、およびその他の悪用手法が関与しています。2025年2月と比較して、総損失は前月比99%減少しました。スマートコントラクトの欠陥とハッキングされたアカウントがこれらの攻撃の主な原因であり、そのうち5件のインシデントが62.5%を占めています。公式X（旧Twitter）アカウントは引き続きハッカーの主な標的となっています。[1]

今月、公共ブロックチェーンで唯一のセキュリティインシデントが発生したのはBSCで、Four.memeは18万ドルを超える損失を被った。これは、BSCエコシステム内でのスマートコントラクト監査、リスク管理メカニズム、オンチェーンモニタリングの継続的な改善の必要性を示しています。

今月、いくつかのブロックチェーンプロジェクトが重大なセキュリティ侵害に直面し、大きな財務的損失を被りました。最も注目すべきは、RWAステーキングプラットフォームZothで、$8.29百万の損失をもたらしたハッキングと、$285,000の損害を引き起こしたスマートコントラクトの脆弱性による2つの攻撃に苦しんだことです。さらに、DEXアグリゲーター1inchは契約の脆弱性により$5百万を失いました。

3月の主要なセキュリティインシデント

公式開示によると、3月の主要な脅威は、秘密鍵の漏洩とスマートコントラクトの脆弱性によるもので、被った損失額は1350万ドルを超えました。

• 攻撃者は、時代遅れのFusion v1契約の脆弱性を悪用し、約$5百万のUSDCとwETHを盗みました。資金はエンドユーザーのウォレットから直接ではなく、リゾルバから取られました。
• RWAステーキングプラットフォームZothは、3月に2つのセキュリティインシデントに見舞われました。3月6日には担保計算の欠陥により約285,000ドルの損失が発生しました。3月21日にはハッカーが管理者権限を取得し、契約を悪意のあるバージョンにアップグレードし、USD0++の約8.29百万ドル相当を窃取しました。その後、これは4,223 ETHに換金されました。

1inch

プロジェクト概要：1inchは、スマートアルゴリズムを使用して複数のDEX間で最適な取引ルートを特定し、取引効率と資本利用を向上させる分散型取引（DEX）アグリゲーターです。公式ウェブサイトによると、1inchは320万以上の流動性ソースを統合し、累積取引高で5960億ドル以上を処理し、1億3400万以上の取引を通じて2170万人以上のユーザーにサービスを提供しています。

インシデント概要：

3月5日、レガシーFusion v1スマートコントラクトの脆弱性により、約500万ドルの損失が発生しました。攻撃者は、陳腐化した契約を悪用する悪意のあるトランザクションパスを作成し、個々のユーザーではなくリゾルバから資金（具体的にはUSDCとwETH）を引き出しました。事件後の調査により、その脆弱性が陳腐化したスマートコントラクトにのみ存在することが判明しました。攻撃者は特定のトランザクションパスを作成することで、リゾルバから資金を移転する関数を呼び出しました。現在のバージョンの契約にはこの脆弱性は含まれていません。

Decurityによる事後分析によると、1inchチームは攻撃者との交渉に入りました。現在、盗まれた資金の約90%が回収されており、残りは攻撃者によってバグバウンティとして保持されています。この攻撃は、アップグレードされていなかった旧式のリゾルバに主に影響を与えました。直接ユーザー資産には影響がなく、ユーザーウォレットからの大規模な流出も検出されませんでした。この事件は、古い契約の段階的な非推奨化とアップグレードの必要性を明らかにしました。[3][4][5]

事後インシデントの推奨事項：

• レガシーコントラクトの管理とアクセス制御を強化する: 廃止されたスマートコントラクト（たとえばFusion v1など）は、潜在的な攻撃面を排除するために完全に廃止され、権限が凍結されるか強制的に移行されるべきです。アクセス制御ロジックも、呼び出し元を検証し、意図しない呼び出し経路を通じた悪用を防ぐためにより厳格な権限チェックを施すことで改善すべきです。
• 監査プロセスとカバレッジを向上させる：コア契約に関連する周辺モジュール（例：リゾルバ）は、各コンポーネントに明確に定義されたリスク境界を持つ形式の監査範囲に含めるべきです。構造の再構築、言語のアップグレード、またはインターフェースの変更がある場合は、再監査プロセスをトリガーし、過去のリスク評価はレガシーバージョンのまま保持されるべきです。
• リアルタイムの監視および緊急対応システムの構築: チェーン上のセキュリティ監視システムを展開して、リアルタイムの異常な取引動きを検出するべきです。許可の凍結、緊急連絡手段、およびロールバック戦略などの迅速な対応メカニズムを備え、資産損失の時間枠を最小限に抑えるべきです。
• プロジェクト全体のセキュリティポストを強化するために、バグバウンティプログラムやグレーハットハッカーとの責任ある開示契約など、倫理的な脆弱性の報告を促進するインセンティブメカニズムを確立する。

Zoth

プロジェクト概要：Zothは、伝統的な金融とDeFiエコシステムを資産トークン化を通じて結びつける、イーサリアムベースのRWAリステーキングプラットフォームです。ユーザーは準拠した実世界の資産をステーキングしてオンチェーンの収益を得たり、キャピタル効率を高めるためにリステーキングメカニズムに参加したりできます。公式ウェブサイトによると、Zothは総ロックバリュー（TVL）が$35.4百万ドルであり、登録資産が$2.5億ドル以上あるため、オンチェーンと伝統的な金融システムの交差点において強力な存在感を示しています。プラットフォームは、RWA発行者や流動性プロトコルとのパートナーシップを通じてリステーキングエコシステムを拡大し続けています。[6]

インシデントの概要:

2025年3月、Zothは2つの大規模なセキュリティ侵害を経験し、約857.5万ドルの損失を被りました。

• 3月6日：Zothの担保ロジックにおける設計上の欠陥により、攻撃者は契約の担保評価プロセスにおける不正確な計算を悪用することができました。攻撃者は特定の関数を繰り返し呼び出すことで、担保検証チェックをバイパスし、約$285,000の余剰資金を抽出しました。この事件は、契約が資産評価、担保比率の閾値、および境界条件をどのように処理しているかにおける弱点を明らかにしました。
• 3月21日：Zothは再度狙われ、非常に綿密かつ故意の攻撃を受けました。数回の失敗した試みの後、攻撃者はデプロイヤーアカウントの制御に成功し、それを使用してプロキシコントラクトを介して悪意のあるバージョンにプロトコルをアップグレードしました。このアップグレードにより、攻撃者は契約ロジックの完全な制御を得て、担保となるUSD0++トークンを含む孤立した金庫を排出することができました。攻撃者は約8億4500万USD0++を盗み出し、すぐにDAIに交換し、4223ETHに換算しました。

事件の後、Zothチームはすぐに緊急対応プロトコルをアクティブ化し、ブロックチェーンセキュリティ企業Crystal Blockchain BVと提携して調査を行いました。また、資産発行者パートナーと緊密に連携し、プラットフォームの約73%のTVLを確保しました。Zothは公式声明で、盗まれた資金の回収に役立つ情報を奨励するための50万ドルのバグバウンティプログラムを発表しました。

3月31日時点で、盗まれた資産はほとんど動かされず、4,223 ETHを保持している2つのウォレットアドレスに集中しています。チームはオンチェーンの監視システムを展開し、世界のブロックチェーン分析企業、Web2プラットフォーム、法執行機関と協力して、攻撃者の動きを追跡しています。Zothは、調査が完了した後に完全な事後報告書と回復・再構築計画を公開することを約束しています。

インシデント後の推奨事項:

• コア特権の強化と管理のアップグレード: このインシデントは、デプロイヤーの秘密鍵が compromised され、悪意のある契約のアップグレードが可能となったことから発生しました。特権制御とアップグレードプロセスの重大な弱点を明らかにしました。今後は、マルチシグネチャウォレットの採用、レイヤー化されたアクセス許可の実装、アップグレードのホワイトリストメカニズムの確立、オンチェーンガバナンスまたはセキュリティ監査手続きの強制実施が推奨されています。
• リアルタイムの監視と自動リスク管理の実装: 資金の急激な流出は、タイムリーな検出の欠如を示していた。プラットフォームは、将来の攻撃に対応するために、リアルタイムトランザクションの監視、攻撃警告システム、およびチェーン上での資産凍結メカニズムを展開すべきです。
• 資産の保管およびアクセス制御ロジックの改善: 孤立した保管庫からの成功した引き出しは、保管メカニズム内でのアクセス制御が不十分であることを示しています。主要な資産契約が複数のリスク制御層によって保護されるようにするために、動的呼び出し制限、異常行動の検出、および取引パスの検証が導入されるべきです。
• 緊急対応とチーム間の連携を制度化する: チームは、セキュリティ企業や法執行機関と連携し、進捗状況の更新を行い、バウンティ・プログラムを開始することで、迅速に対応し、状況を効果的に安定させました。将来のインシデントに備えて、監視、警告、凍結、調査、コミュニケーションの5つの主要段階をカバーする標準化された緊急対応プロトコルを採用し、継続的な透明性を確保することが求められます。

概要

2025年3月、複数のDeFiプロジェクトがセキュリティ侵害を受け、数千万ドルの損失が発生しました。1inchのスマートコントラクトの脆弱性を悪用した攻撃とZothの特権昇格攻撃という2つの注目すべき事件は、再びレガシーコントラクトの露出、中央集権的な管理特権、欠陥のあるアップグレードメカニズム、および不十分なリスク対応フレームワークなどのシステムリスクを浮き彫りにしました。1inchは攻撃者と迅速な交渉を通じてほとんどの盗まれた資金を回収することに成功し、Zothは迅速にクロスチームの協力を開始し、資産の73%を保護することに成功しましたが、いずれの場合も、ガバナンス構造、アクセス制御、セキュリティ監査、および多くのDeFiプロトコル全体でのリアルタイムモニタリングの改善の余地があることを示しました。

これらの出来事は、オンチェーンモニタリングシステム、自動資産凍結メカニズム、およびグレーハットディスクロージャーのためのインセンティブ構造を実装する重要性を強調しています。 DeFiプロジェクトが長期的なユーザー信頼を維持するためには、セキュリティを当初から基本的な設計要素として扱う必要があります。それを後回しにするのではなく。Gate.ioは、ユーザーにセキュリティの動向について情報を入手し、積極的に個人資産を保護するよう呼びかけています。


参照：

1. Slowmist,https://hacked.slowmist.io/
2. 1inch,https://1inch.io/
3. X,https://x.com/SlowMist_Team/status/1897958914114879656
4. Decurity,https://blog.decurity.io/yul-calldata-corruption-1inch-postmortem-a7ea7a53bfd9
5. X,https://x.com/PeckShieldAlert/status/1906894141193376021
6. Zoth,https://zoth.io/
7. X,https://x.com/zothdotio/status/1906343855181701342
8. X,https://x.com/CyversAlerts/status/1903021017460600885
9. X,https://x.com/PeckShieldAlert/status/1903040662829768994

Gate Research
Gate Researchは、詳細なコンテンツを提供する包括的なブロックチェーンおよび暗号通貨研究プラットフォームです。これには、技術分析、ホットトピックの洞察、市場レビュー、業界研究、トレンド予測、およびマクロ経済政策分析が含まれます。

Click ここ今すぐ訪問

免責事項
暗号通貨市場への投資には高いリスクが伴い、投資判断を行う前にユーザーが独自の調査を行い、購入する資産や商品の性質を完全に理解することをお勧めします。投資判断によって生じた損失や損害について、Gate.ioは一切の責任を負いません。