Nemo Protocol onthult $2,6 miljoen oorzaak van Exploit
DeFi platform Nemo Protocol, gebouwd op de Sui blockchain, meldde eerder deze maand een $2,6 miljoen exploit. Het team zei dat de aanval plaatsvond omdat niet-gecontroleerde code werd ingezet op het mainnet. Een ontwikkelaar voegde nieuwe functies toe na de eerste audit, maar deze wijzigingen werden nooit beoordeeld door beveiligingsbedrijven.
In een rapport dat op 11 september werd vrijgegeven, verklaarde Nemo het volgende: “De hoofdoorzaak van het bestuur was de afhankelijkheid van het protocol van een adres met één handtekening voor upgrades, waardoor niet kon worden voorkomen dat code werd gebruikt die niet grondig was onderzocht.”
Hoe de kwetsbaarheid zich voordeed
In het rapport wordt het probleem teruggevoerd tot januari 2025. Nadat beveiligingsbedrijf MoveBit zijn eerste audit had voltooid, voegde een ontwikkelaar twee nieuwe functies toe. Dit waren onder andere een flash loan functie die per ongeluk openbaar werd gemaakt en een query functie die ongeautoriseerde statuswijzigingen mogelijk maakte.
In plaats van de gecontroleerde code te implementeren, pushte de ontwikkelaar de gewijzigde versie naar mainnet met behulp van een portemonnee met één handtekening. Nemo schakelde in april over op upgrades met meerdere handtekeningen, maar het kwetsbare contract was al actief.
In augustus waarschuwde beveiligingsbedrijf Asymptotic voor een gerelateerd risico van staatswijziging. Het probleem werd echter niet opgelost omdat het team zich concentreerde op de ontwikkeling van Nemo’s Vault product.
Details van de exploit en protocolreactie
- Op 7 september maakten aanvallers misbruik van de twee zwakke plekken.
- Ze gebruikten de flitslening en foutieve query om de prijzen te manipuleren en extra SY tokens te slaan.
- Aanvallers haalden geld uit de SY/PT-pool.
- De meeste gestolen fondsen werden overgeboekt van Sui naar Ethereum via Wormhole’s CCTP.
- Ongeveer $2,4 miljoen zit nog in één Ethereum portemonnee.
- Secundaire arbitrageanten profiteerden ook van de gemanipuleerde pool.
Nemo stopte zijn belangrijkste functies na het detecteren van ongebruikelijke opbrengstpieken. Het team patchte de kwetsbaarheden, verwijderde de flash loan functie en vergrendelde query methoden tot alleen-lezen. Een noodaudit met Asymptotic is gaande.
“Ondanks meerdere audits en voorzorgsmaatregelen, erkennen we dat we onszelf hebben toegestaan te veel te vertrouwen op garanties uit het verleden,” zei Nemo. Het protocol werkt samen met beveiligingsbedrijven, beurzen en wetshandhavers om de gestolen fondsen te traceren. Een compensatieplan voor gebruikers, inclusief mogelijke schuldsanering, is in voorbereiding.
Nemo noemde het incident “een pijnlijke maar belangrijke les”. Het team beloofde om upgrade procedures te verbeteren met multi-handtekening beveiligingen, strengere audits en een uitgebreid bug bounty programma. Ze benadrukten transparantie en beveiliging als de sleutel tot het herstel van vertrouwen terwijl ze zich voorbereiden op het opnieuw opstarten van de activiteiten.
