審計員在2.59百萬美元Nemo黑客事件前發現問題,團隊承認
基於Sui的收益交易協議Nemo因為一個已知的漏洞而損失了約2.59百萬美元,這一漏洞是由於未經審計的代碼在沒有多重簽名控制的情況下被部署所致。
根據Nemo的事後分析報告,9月7日的黑客攻擊中,一個旨在減少滑點的功能出現了缺陷,這使得攻擊者能夠改變協議的狀態。這個名為“get_sy_amount_in_for_exact_py_out”的功能在未經智能合約審計機構Asymptotic審核的情況下被推送到鏈上。
此外,Asymptotic的團隊在初步報告中識別了這一問題,但Nemo團隊承認其“未能及時妥善解決這一安全隱患”。
由於部署新代碼僅需來自單一地址的簽名,這使得開發者能夠在未披露變更的情況下將未經審計的代碼推送到鏈上。此外,他還未使用審計中提供的確認哈希來進行部署,這違反了程序規定。
這並不是第一次有黑客事件被證明是可以輕易預防的。報告指出,NFT交易平台SuperRare在7月底因為一個基本的智能合約漏洞遭受了73萬美元的攻擊,專家表示這一漏洞本可以通過標準測試流程輕易避免。
安全程序變更太遲
該漏洞代碼在1月初被推送到鏈上,而可能防止未經審計代碼部署的升級程序則是在4月實施的。
儘管進行了升級,但該漏洞已經進入了生產環境。Asymptotic在8月11日警告Nemo該漏洞,但該項目表示其專注於其他問題,未能在攻擊發生前解決此問題。
Nemo暫停協議,準備修補
根據分析,Nemo的協議核心功能目前已暫停,以防止進一步損失。團隊正在與多個安全團隊合作,並提供所有相關地址以協助凍結集中交易所上的資產。
目前已經開發出修補程序,Asymptotic也在對新代碼進行審計。該項目表示已經移除了其閃電貸功能,修復了漏洞代碼並添加了手動重置功能以恢復受影響的數值。Nemo還在設計用戶賠償計劃,包括在代幣經濟學層面的債務結構設計。
“Nemo的核心團隊正在制定詳細的用戶賠償計劃,包括在代幣經濟學層面的債務結構設計。”
Nemo向用戶道歉,並聲明已經認識到“安全和風險管理需要持續的警惕”。團隊還承諾會加強防禦,並實施更嚴格的協議控制。
這一事件再次提醒我們,無論技術多麼先進,安全性始終是區塊鏈項目的基石。開發團隊必須對代碼的安全性保持高度重視,並在部署之前進行充分的測試和審計,以避免類似事件的重演。這不僅是對用戶資金的負責,更是對整個區塊鏈生態系統的負責。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
