Nemo Protocol deckt 2,6 Millionen Dollar für Exploit auf
Die DeFi-Plattform Nemo Protocol, die auf der Sui-Blockchain aufbaut, meldete Anfang des Monats einen Angriff im Wert von 2,6 Millionen Dollar. Das Team sagte, der Angriff sei erfolgt, weil ungeprüfter Code im Mainnet bereitgestellt wurde. Ein Entwickler fügte nach der ersten Prüfung neue Funktionen hinzu, aber diese Änderungen wurden nie von Sicherheitsfirmen überprüft.
In einem Bericht, der am 11. September veröffentlicht wurde, erklärte Nemo: “Die Grundursache für die Governance war die Abhängigkeit des Protokolls von einer Adresse mit einer einzigen Signatur für Upgrades, die nicht verhindern konnte, dass Code eingesetzt wurde, der keiner strengen Prüfung unterzogen worden war.”
Wie es zu der Schwachstelle kam
In dem Bericht wird das Problem auf den Januar 2025 zurückgeführt. Nachdem die Sicherheitsfirma MoveBit ihre erste Prüfung abgeschlossen hatte, fügte ein Entwickler zwei neue Funktionen hinzu. Dabei handelte es sich um eine Flash-Darlehensfunktion, die fälschlicherweise veröffentlicht wurde, und eine Abfragefunktion, die unbefugte Statusänderungen ermöglichte.
Anstatt den geprüften Code zu implementieren, hat der Entwickler die veränderte Version mit einer Einzelsignatur-Brieftasche ins Mainnet gestellt. Nemo wechselte im April zu Multi-Signatur-Upgrades, aber der verwundbare Vertrag war bereits aktiv.
Im August warnte das Sicherheitsunternehmen Asymptotic vor einem ähnlichen Risiko der Zustandsveränderung. Das Problem wurde jedoch nicht behoben, da sich das Team auf die Entwicklung des Nemo-Produkts Vault konzentrierte.
Details zum Exploit und Protokollantwort
- Am 7. September nutzten Angreifer die beiden Schwachstellen aus.
- Sie nutzten den Blitzkredit und die fehlerhafte Abfrage, um die Preise zu manipulieren und zusätzliche SY-Token zu prägen.
- Die Angreifer zogen Gelder aus dem SY/PT-Pool ab.
- Die meisten gestohlenen Gelder wurden über das CCTP von Wormhole von Sui zu Ethereum transferiert.
- Etwa 2,4 Millionen Dollar befinden sich in einer einzigen Ethereum-Wallet.
- Sekundäre Arbitrageure profitierten ebenfalls von dem manipulierten Pool.
Nemo stoppte seine Hauptfunktionen, nachdem ungewöhnliche Ertragsspitzen festgestellt wurden. Das Team hat die Schwachstellen gepatcht, die Flash-Darlehensfunktion entfernt und die Abfragemethoden auf schreibgeschützt gesetzt. Ein Notfall-Audit mit Asymptotic ist im Gange.
“Trotz mehrfacher Prüfungen und Sicherheitsvorkehrungen räumen wir ein, dass wir uns in der Vergangenheit zu sehr auf Zusicherungen verlassen haben”, sagte Nemo. Das Protokoll arbeitet mit Sicherheitsfirmen, Börsen und Strafverfolgungsbehörden zusammen, um gestohlene Gelder zurückzuverfolgen. Ein Entschädigungsplan für die Nutzer, einschließlich einer möglichen Umschuldung, ist in Vorbereitung.
Nemo nannte den Vorfall “eine schmerzhafte, aber wichtige Lektion”. Das Team versprach, die Upgrade-Prozeduren mit Mehrfachsignatur-Schutz, strengeren Audits und einem erweiterten Bug-Bounty-Programm zu verbessern. Sie betonten, dass Transparenz und Sicherheit der Schlüssel zur Wiederherstellung des Vertrauens sind, während sie sich auf die Wiederaufnahme des Betriebs vorbereiten.
