审计方曾预警漏洞，Nemo团队承认259万美元黑客事件因忽视安全建议所致

基于Sui的收益交易协议Nemo因已知漏洞导致约259万美元的资金损失。项目方承认，该漏洞源于未经审计的代码被部署上线。

根据Nemo对9月7日遭黑客攻击事件的事后分析，问题出在一项旨在减少滑点的函数“get_sy_amount_in_for_exact_py_out”。该函数存在缺陷，使攻击者得以更改协议状态，并且在未经过智能合约审计机构Asymptotic审计的情况下直接部署到链上。

值得注意的是，Asymptotic团队在其初步报告中已经识别出了这一问题，但Nemo团队未能及时解决这一安全隐患。

据披露，部署新代码仅需单一地址签名，开发人员可以在未公开变更内容的情况下将未经审计的代码直接上线。此外，开发人员未使用审计中提供的确认哈希，违反了既定的安全流程。

此类因忽视安全措施而导致的黑客事件并非孤例。此前，NFT交易平台SuperRare在7月底因基础智能合约漏洞损失73万美元，专家指出，若采用标准测试流程，该漏洞本可轻易避免。

安全程序升级为时已晚

存在问题的代码早在1月初便已被部署上线。直到4月，团队才引入能够防止未经审计代码上线的改进流程。

尽管流程有所升级，但漏洞已在生产环境中运行。Asymptotic于8月11日向Nemo发出警告，但由于团队当时专注于其他问题，未能在攻击发生前修复漏洞。

Nemo暂停协议并着手修复

分析显示，Nemo协议的核心功能目前已暂停，以防止进一步损失。团队正在与多家安全机构合作，并提供所有相关地址协助中心化交易所冻结资产。

目前，团队已完成补丁开发，Asymptotic正在对新代码进行审计。项目方表示，已移除闪电贷功能，修复了漏洞代码，并新增手动重置功能以恢复受影响的数值。Nemo还在设计用户补偿方案，包括通过代币经济层面的债务结构调整。

“核心团队正在制定详细的用户补偿计划，包括在代币经济学层面的债务结构设计。”

Nemo向用户致歉，并表示已深刻认识到“安全与风险管理需要持续警惕”。团队承诺将进一步提升防御能力，实施更严格的协议管控。

相关推荐：Ethena退出Hyperliquid USDH稳定币竞标，为Native Markets扫清道路