Nemo Protocol объяснил причины взлома на $2,6 млн
Команда проекта устранила уязвимости и отправила обновленный код на экстренный аудит
11.09.2025 - 09:00
554
4 мин
0
Главное:
- Nemo Protocol сообщил о двух уязвимостях, внедренных в кодовую базу без проверки со стороны разработчика.
- Команда сотрудничает с отделами безопасности Sui и разрабатывает план компенсации для пострадавших.
- Ущерб от эксплойта составил 2,6 млн долларов.
DeFi-платформа Nemo Protocol на базе Sui заявила, что эксплойт на 2,6 млн долларов, стал результатом двух уязвимостей, внедренных в кодовую базу, без надлежащей проверки разработчиком.
В отчете Nemo объяснила, что атака 7 сентября была вызвана двумя проблемами: внутренней функцией мгновенного кредитования, которая по ошибке стала общедоступной, и ошибкой в функции запроса, которая позволяла несанкционированное изменение состояния контракта.
Обзор крупнейшей NPM-атаки в истории: что это такое и при чем тут крипта
Вредоносный код был внедрен в специализированные пакеты для разработчиков, которые используются для создания глобальной интернет-инфраструктуры
По данным аналитиков, уязвимости появились еще в январе 2025 года. После аудита от MoveBit, специализирующейся на безопасности блокчейнов, один из разработчиков Nemo добавил новые функции в кодовую базу без проверки. Версия контракта, содержащая этот код, была затем развернута в основной сети. Специалисты добавили:
«Основной причиной проблем с управлением была зависимость протокола от адреса с единой подписью для обновлений, что не смогло предотвратить развертывание кода, не прошедшего тщательную проверку».
Команда разработчиков не отреагировала на предупреждение команды безопасности Asymptotic, полученное в августе, относительно другой, но связанной уязвимости.
Как действовали хакеры?
Злоумышленник использовал комбинацию мгновенного займа и функции запроса на изменение состояния, чтобы манипулировать внутренним состоянием контракта, изъяв активы из пула ликвидности SY/PT. Украденные средства были переведены из сети Sui в Ethereum через Wormhole CCTP, при этом большая часть активов в настоящее время хранится на одном адресе.
Nemo Protocol приостановила работу основных функций, устранила уязвимости и отправила обновленный код на экстренный аудит. Команда сотрудничает со службами безопасности Sui для отслеживания активов и готовит план компенсации для пострадавших пользователей.
Nemo Protocol — это платформа для работы с доходностью и торговли на базе Sui. Она ориентирована на токенизацию доходности, позволяя более эффективно торговать, хеджировать или использовать доходность с помощью кредитного плеча.
Полезный материал?
Происшествия
Разработчики предупредили о рисках для мостов и обратились к биржам за помощью.
22 июн. 2026 г.
Происшествия
Осужденный помогал переводить средства жертв инвестиционных афер и заработал на этом не менее $4 млн.
10 июн. 2026 г.
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.