Команда проекта устранила уязвимости и отправила обновленный код на экстренный аудит

Nemo Protocol  объяснил причины взлома на $2,6 млн

11.09.2025 - 09:00

555

4 мин

Главное:

  • Nemo Protocol сообщил о двух уязвимостях, внедренных в кодовую базу без проверки со стороны разработчика.
  • Команда сотрудничает с отделами безопасности Sui и разрабатывает план компенсации для пострадавших.
  • Ущерб от эксплойта составил 2,6 млн долларов.

DeFi-платформа Nemo Protocol на базе Sui заявила, что эксплойт на 2,6 млн долларов, стал результатом двух уязвимостей, внедренных в кодовую базу, без надлежащей проверки разработчиком.

В отчете Nemo объяснила, что атака 7 сентября была вызвана двумя проблемами: внутренней функцией мгновенного кредитования, которая по ошибке стала общедоступной, и ошибкой в функции запроса, которая позволяла несанкционированное изменение состояния контракта.

Обзор крупнейшей NPM-атаки в истории: что это такое и при чем тут крипта

Обзор крупнейшей NPM-атаки в истории: что это такое и при чем тут крипта

Вредоносный код был внедрен в специализированные пакеты для разработчиков, которые используются для создания глобальной интернет-инфраструктуры

Читать дальше

По данным аналитиков, уязвимости появились еще в январе 2025 года. После аудита от MoveBit, специализирующейся на безопасности блокчейнов, один из разработчиков Nemo добавил новые функции в кодовую базу без проверки. Версия контракта, содержащая этот код, была затем развернута в основной сети. Специалисты добавили:

«Основной причиной проблем с управлением была зависимость протокола от адреса с единой подписью для обновлений, что не смогло предотвратить развертывание кода, не прошедшего тщательную проверку».

Команда разработчиков не отреагировала на предупреждение команды безопасности Asymptotic, полученное в августе, относительно другой, но связанной уязвимости.

Как действовали хакеры?

Злоумышленник использовал комбинацию мгновенного займа и функции запроса на изменение состояния, чтобы манипулировать внутренним состоянием контракта, изъяв активы из пула ликвидности SY/PT. Украденные средства были переведены из сети Sui в Ethereum через Wormhole CCTP, при этом большая часть активов в настоящее время хранится на одном адресе.

Nemo Protocol приостановила работу основных функций, устранила уязвимости и отправила обновленный код на экстренный аудит. Команда сотрудничает со службами безопасности Sui для отслеживания активов и готовит план компенсации для пострадавших пользователей.

Nemo Protocol — это платформа для работы с доходностью и торговли на базе Sui. Она ориентирована на токенизацию доходности, позволяя более эффективно торговать, хеджировать или использовать доходность с помощью кредитного плеча.

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики