Протокол торгівлі врожайністю на базі SUI NEMO втратив близько 2,59 мільйонів доларів через відому вразливість, запроваджену не аудитованим кодом, згідно з проектом.
Згідно з післясмертним аналізом Немо-хакера 7 вересня, недолік функції, призначеної для зменшення ковзання, дозволив зловмиснику змінити стан протоколу. Ця функція під назвою “get_sy_amount_in_for_exact_py_out” була натиснута на Onchain, не аудуючись аудитором смарт -контракту асимптотичним.
Крім того, команда Asymptotic визначила це питання у попередньому звіті. Тим не менш, команда NEMO визнає, що її “команда не вчасно вирішила цю проблему безпеки”.
Розгортання нового коду вимагало лише підписання з однієї адреси, що дозволяє розробнику натиснути на неаудіший код Onchain, не розкриваючи зміни. Крім того, він не використовував хеш -підтвердження, передбачений аудитом для розгортання, порушуючи процедуру.
Це не вперше, коли було виявлено, що хак був легко запобіжний. Звіт випливає з торгової платформи NFT Superrare, яка зазнає експлуатації в розмірі 730 000 доларів в кінці липня через основну помилку розумного контракту, за якою експерти вважають, що можна було легко запобігти за допомогою стандартних практик тестування.
Пов’язано: Бульбладки стверджують, що найбільша атака Sybil в історії криптовалют на Airdrop Myx
Процедури безпеки змінилися занадто пізно
Уразливий код був підштовхнутий на Ончейн на початку січня. Процедура оновлення, яка, ймовірно, заважала б розгорнутим кодексу, була впроваджена у квітні.
Незважаючи на оновлення, вразливість вже пробилася у виробниче середовище. Асимптотичний попередив Немо про вразливість 11 серпня, але проект заявив, що він зосереджений на інших питаннях і не зміг вирішити це до експлуатації.
Пов’язано: Невдалі експлуатації NPM підкреслюють, що насувається загроза для безпеки криптовалют: Exec
Nemo Tauses протокол, готує патч
Згідно з аналізом, функції ядра протоколу NEMO тепер призупиняються, щоб запобігти подальшим втратам. Команда співпрацює з декількома командами безпеки та надає всі відповідні адреси для надання допомоги в заморожуванні активів на централізованих біржах.
Зараз розроблено патч, і асимптотичний аудит перевіряє новий код. Проект заявив, що видалив свою функцію флеш-позики, фіксував вразливий код і додав функцію вручну резервування для відновлення уражених значень. NEMO також розробляє план компенсацій для користувачів, включаючи структуру боргу на рівні токенміки.
«Основна команда формулює детальний план компенсації користувачів, включаючи конструкцію структури боргу на рівні токеміки».
Немо вибачився перед своїми користувачами та стверджує, що дізнався, що “безпека та управління ризиками потребують постійної пильності”. Команда також пообіцяла вдосконалити захист та застосувати більш жорсткий контроль протоколу.
