Nemo Protocol 260万美元黑客攻击源于未经审计的代码部署

基于Sui区块链构建的DeFi平台Nemo Protocol披露，本月早些时候发生的260万美元漏洞攻击事件源于未经审计的代码被部署至主网。团队承认开发人员在初始审计后新增了功能，但这些功能在上线前从未经过安全公司审查。

在周三晚间发布的报告中，Nemo表示："根本性治理问题在于协议升级依赖单一签名地址，这导致未能阻止未经严格审查的代码部署。"

漏洞引入过程

报告将问题追溯至2025年1月。安全公司MoveBit完成首次审计后，开发人员新增了两个组件：一个被错误设置为公开的闪电贷功能，以及允许未授权状态变更的查询功能。

开发者未部署审计版本，而是通过单一签名钱包将修改后的代码推送至主网。Nemo虽于4月改为多重签名升级机制，但存在漏洞的合约当时已生效。

安全公司Asymptotic在8月再次发出警告，指出相关状态修改风险。但由于优先级转向Nemo的Vault产品，该问题未得到解决。

攻击与资金追踪

9月7日，攻击者利用这两个漏洞，通过暴露的闪电贷功能和缺陷查询扭曲价格数据，超额铸造SY代币并清空SY/PT池资金。

大部分被盗资金通过Wormhole的CCTP从Sui跨链至以太坊。约240万美元仍存放在单一以太坊钱包中。套利者也趁机从被操纵的资金池中获取额外收益。

协议应对措施

Nemo在发现收益率异常波动后立即暂停主要功能。团队已修补漏洞，移除闪电贷功能并将所有查询方法锁定为只读模式，目前正与Asymptotic进行紧急审计。

Nemo表示："尽管经过多次审计和保障措施，我们承认过度依赖历史安全承诺，而非在每个环节保持严格审查。"

协议正与安全公司、交易所及执法部门合作追踪资金，并制定包含债务重组方案的用户赔偿计划。

未来改进

Nemo称此次事件是"惨痛但重要的教训"，承诺将通过多重签名保护、更严格的审计检查点和扩大漏洞赏金计划来强化升级流程。

团队表示将依靠透明度和安全改进重建信任，同时继续推进业务重启工作。