Протокол торговли доходностью SUI Nemo потерял около 2,59 млн. Долл. США из-за известной уязвимости, представленной неаудированным кодом, развертываемого, согласно проекту.
Согласно вспомогательному анализу Немо, 7 сентября, недостаток в функции, предназначенной для уменьшения проскальзывания, позволил злоумышленнику изменить состояние протокола. Эта функция с именем «GET_SY_AMOUNT_IN_FOR_EXACT_PY_OUT» была подтолчена ONCHAIN без проверки аудитором Smart Contract Asymptotic.
Кроме того, команда Asymptotic определила эту проблему в предварительном отчете. Тем не менее, команда NEMO признает, что ее «команда не адекватно решала эту проблему безопасности своевременно».
Развертывание нового кода требовала только подписи с одного адреса, что позволило разработчику подтолкнуть неаудированный код Onchain, не раскрывая изменения. Кроме того, он не использовал хэш подтверждения, представленную в аудите для развертывания, нарушая процедуру.
Это не первый раз, когда выяснилось, что взлом был легко предотвратимым. В отчете следует NFT Trading Platform Superrare, страдающую от эксплуатации в 730 000 долларов в конце июля из -за основной ошибки с интеллектуальным контрактом, которая, по словам экспертов, можно было легко предотвратить при стандартной практике тестирования.
Связанный: Bubblemaps утверждает, что крупнейшая атака Сибил в истории криптовалюты на Airdrop Myx
Процедуры безопасности изменились слишком поздно
Уязвимый код был выдвинут в начале января. Процедура обновления, которая, вероятно, предотвратила бы развертывание неаудированного кода, была реализована в апреле.
Несмотря на обновление, уязвимость уже попала в производственную среду. Асимптотический предупредил Немо об уязвимости 11 августа, но в проекте говорится, что он был сосредоточен на других вопросах и не смог решить ее до эксплуатации.
Связанный: Неудача NPM Exploit выделяет надвигающуюся угрозу для безопасности криптовалюты: EXEC
Nemo pauses Protocol, готовит патч
Согласно анализу, основные функции протокола NEMO теперь приостанавливаются для предотвращения дальнейших потерь. Команда сотрудничает с несколькими группами безопасности и предоставляет все соответствующие адреса, чтобы помочь в замораживании активов на централизованных биржах.
Запат был разработан, и асимптотический аудит нового кода. Проект заявил, что удалил свою функцию флеш-кредита, исправил уязвимый код и добавил функцию ручного разрешения для восстановления затронутых значений. NEMO также разрабатывает план компенсации для пользователей, включая структурирование долга на уровне токеномики.
«Основная команда формулирует подробный план компенсации пользователей, включая дизайн структуризации долгов на уровне токеномики».
Nemo извинился со своими пользователями и утверждает, что узнал, что «постоянная бдительность безопасности и управление рисками». Команда также пообещала улучшить свою защиту и применить более строгий контроль протокола.
