基于Sui的收益交易协议Nemo于9月7日因部署未经审计且未设置多签控制的代码而遭到攻击，损失约为259万美元。

项目方表示，Nemo因一处已知漏洞而损失了约259万美元，根源在于未经审计的代码被部署上线。

根据Nemo对9月7日黑客事件的事后分析，攻击的关键在于一项旨在减少滑点的函数存在缺陷，允许攻击者修改协议状态。该函数名为“get_sy_amount_in_for_exact_py_out”，在未经过智能合约审计机构Asymptotic审计的情况下被部署到了链上。

Asymptotic团队在初步报告中已确认这一问题，但Nemo团队承认“未能及时和充分地解决这一安全隐患”。

部署新代码时，仅需单一地址签名，这使得开发人员可以在未披露变化内容的情况下，直接上线未经审计的代码。此外，Nemo在部署时未使用审计中提供的确认哈希，违反了既定流程。

这并非首次出现可以轻易预防的黑客事件。在此之前，NFT交易平台SuperRare在7月底因基础智能合约漏洞遭遇了73万美元的攻击，专家表示若采用标准测试流程，该漏洞本可轻易避免。

安全程序的更改为时已晚

有漏洞的代码在1月初被部署上线，直到4月团队才引入了能够防止未经审计代码上线的升级流程。

尽管流程得到了提升，漏洞却已进入生产环境。Asymptotic在8月11日曾警告Nemo该漏洞，项目方表示当时他们专注于其他问题，未能在攻击发生前解决该问题。

Nemo暂停协议，准备补丁

分析表明，Nemo协议的核心功能现已暂停，以防止进一步损失。团队正在与多家安全团队合作，并提供所有相关地址以帮助中心化交易所冻结资产。

团队已完成补丁的开发，Asymptotic正在对新代码进行审计。项目方表示，已移除闪电贷功能，修复了漏洞代码，并新增了手动重置功能以恢复受影响的数值。同时，Nemo还在设计用户的补偿方案，包括在代币经济层面的债务结构设计。

“核心团队正在制定详细的用户补偿计划，包括在代币经济学层面的债务结构设计。”

Nemo对用户表示歉意，并承认“安全与风险管理需要持续警惕”。团队承诺将加强防御能力，并实施更严格的协议控制。

相关推荐：Ethena退出Hyperliquid USDH稳定币竞标，为Native Markets铺平道路