DeFi-платформа на базе Sui Nemo Protocol заявила, что эксплойт на сумму $2,6 млн. был вызван двумя уязвимостями, которые были добавлены в код разработчиком без надлежащего аудита.
Nemo объяснил, что атака 7 сентября была вызвана двумя проблемами: внутренней функцией мгновенного займа, которая по ошибке была опубликована, и ошибкой в функции запроса, которая позволяла несанкционированное изменение состояния контракта.
Согласно отчёту, уязвимости появились ещё в январе этого года. После получения первоначального аудиторского отчёта от компании MoveBit, один из разработчиков Nemo добавил эти новые, не прошедшие полноценный аудит функции в кодовую базу. Содержащая этот код версия контракта затем была размещена в основной сети.
Также отмечено, что в августе проект не отреагировал на предупреждение команды безопасности Asymptotic относительно другой, но связанной уязвимости.
Злоумышленник использовал комбинацию функции мгновенного займа и запроса на изменение состояния для манипулирования внутренним состоянием контракта, что привело к утечке значительного объема активов из пула ликвидности SY/PT. Украденные средства были переведены из сети Sui в Ethereum через Wormhole CCTP, при этом большая часть активов в настоящее время хранится на одном адресе.
Компания Nemo Protocol заявила, что с тех пор приостановила выполнение основных функций, устранила уязвимости и отправила обновлённый код на экстренный аудит. Проект сотрудничает с командами безопасности Sui для отслеживания средств и разрабатывает план компенсации пострадавшим пользователям.
Источник
Уникальность
