基于Sui的收益交易协议Nemo在9月7日因未经审计且未设置多签控制的代码部署，遭到攻击，损失高达259万美元。

据项目方表示，Nemo由于已知漏洞导致的损失约为259万美元，而该漏洞是由于未经审计的代码被错误地部署上线所引发的。

Nemo对9月7日的黑客事件进行了事后分析，发现一项旨在减少交易滑点的函数存在缺陷，允许攻击者更改协议状态。该函数名为“get_sy_amount_in_for_exact_py_out”，在未经过智能合约审计机构Asymptotic审计的情况下被部署到区块链。

Asymptotic团队在初步报告中已识别出该问题，但Nemo团队承认“未能及时且充分地解决这一安全隐患”。

在部署新代码时，仅需单一地址的签名，因此开发人员可以在未披露变更内容的情况下，将未经审计的代码直接上线。此外，该团队未在部署时使用审计中提供的确认哈希，违反了既定程序。

这并非首次出现本可以轻松防止的黑客事件。此前，NFT交易平台SuperRare在7月底因基础智能合约漏洞遭遇73万美元的攻击，专家指出如果采用标准测试流程，这一漏洞本可以避免。

安全程序改进为时已晚

存在漏洞的代码于1月初被部署上线，直到4月，团队才引入了能够阻止未经审计代码上线的升级流程。

虽然流程已得到提升，但漏洞已经进入了生产环境。Asymptotic在8月11日曾警告Nemo该漏洞，项目方表示当时专注于其他问题，未能在攻击发生前解决此隐患。

Nemo暂停协议，准备修复补丁

进一步的分析显示，Nemo协议的核心功能已被暂停，以防止进一步的损失。团队正与多家安全团队合作，并提供所有相关地址以协助中心化交易所冻结被盗资产。

团队已完成漏洞的补丁开发，目前Asymptotic正在对新代码进行审计。项目方表示，已移除闪电贷功能，修复了存在漏洞的代码，并新增手动重置功能以帮助恢复受影响的数值。同时，Nemo还在设计用户补偿计划，包括在代币经济层面的债务结构设计。

“核心团队正在制定详细的用户补偿计划，包括在代币经济学层面的债务结构设计。”

Nemo对用户表示歉意，并承认“安全与风险管理需要持续的警惕”。团队承诺将提升防御能力，实施更严格的协议管理措施。

相关推荐：Ethena退出Hyperliquid USDH稳定币竞标，为Native Markets扫清道路。