基于Sui的收益交易协议Nemo因存在已知漏洞遭受约259万美元损失,项目方称该漏洞源于未经审计的代码被部署到主网。
根据Nemo对9月7日安全事件的事后分析,一个用于减少滑点的函数存在缺陷,使攻击者得以篡改协议状态。该函数名为“get_sy_amount_in_for_exact_py_out”,未经智能合约审计机构Asymptotic审计即被部署。
Asymptotic团队曾在初步审计中识别出该问题,但Nemo团队承认“未能及时充分处理该安全隐患”。
项目部署新代码仅需单一地址签名,开发人员可在未公开变更内容的情况下发布未经审计的代码。此外,团队未按流程使用审计阶段提供的确认哈希值,进一步加剧风险。
此类本可预防的安全事件并非首例。今年7月底,NFT交易平台SuperRare也曾因智能合约漏洞损失73万美元。专家指出,采用标准测试流程可有效避免这类问题。
安全流程升级未能阻止漏洞生效
涉事漏洞代码于今年1月初部署,而团队直到4月才引入可阻止未审计代码上线的升级流程。
尽管流程已优化,漏洞早已存在于生产环境中。Asymptotic曾在8月11日向Nemo发出相关警告,但项目方当时正处理其他问题,未能及时修复。
Nemo暂停协议并推进修复方案
为防止进一步损失,Nemo目前已暂停协议核心功能。团队正与多家安全机构合作,并已提供相关地址以协助中心化交易所冻结可疑资产。
漏洞补丁已开发完成,正由Asymptotic进行审计。项目方表示已移除闪电贷功能、修复缺陷代码,并新增手动重置机制以恢复受影响数据。Nemo同时正在拟定用户补偿计划,包括在代币经济模型中设计债务结构。
“核心团队正在制定详细的用户补偿计划,包括在代币经济学层面的债务结构设计。”
Nemo向用户致歉,并承诺将加强协议安全与风险管理,实施更严格的管控措施,持续提升系统防御能力。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/40331.html
