團隊承認，審計方在 259 萬美元 Nemo 駭客事件發生前曾預警漏洞

據項目方稱，基於Sui的收益交易協議Nemo因已知漏洞導致損失約259萬美元，該漏洞源於未經審計的代碼被部署上線。

根據Nemo對9月7日被黑事件的事後分析，一項旨在減少滑點的函數存在缺陷，使攻擊者能夠更改協議狀態。該函數名為“get_sy_amount_in_for_exact_py_out”，在未經過智能合約審計機構Asymptotic審計的情況下被部署到鏈上。

此外，Asymptotic團隊在初步報告中已識別出該問題，但Nemo團隊承認“未能及時充分解決這一安全隱患”。

部署新代碼時，僅需單一地址簽名。開發人員可以在未披露變更內容的情況下，將未經審計的代碼部署上線。此外，他未在部署時使用審計中提供的確認哈希，違反了既定流程。

這並非首次出現本可輕鬆防止的被黑事件。此前，NFT交易平台SuperRare在7月底因基礎智能合約漏洞遭遇73萬美元攻擊，專家表示若採用標準測試流程本可輕易避免該漏洞。

安全程序更改為時已晚

存在漏洞的代碼於1月初被部署上線。直到4月，團隊才引入了能夠防止未經審計代碼上線的升級流程。

儘管流程已升級，漏洞已經進入生產環境。Asymptotic於8月11日曾警告Nemo該漏洞，項目方表示，當時專注於其他問題，未能在攻擊發生前解決。

分析顯示，Nemo協議核心功能現已暫停，以防止進一步損失。團隊正在與多家安全團隊合作，並提供所有相關地址以協助中心化交易所凍結資產。

團隊已開發完成補丁，Asymptotic正在對新代碼進行審計。項目方表示，已移除閃電貸功能，修復了存在漏洞的代碼，並新增手動重置功能以恢復受影響的數值。Nemo還在設計用戶補償方案，包括在代幣經濟層面的債務結構設計。

“核心團隊正在制定詳細的用戶補償計劃，包括在代幣經濟學層面的債務結構設計。”

Nemo向用戶致歉，並表示已認識到“安全與風險管理需要持續警惕”。團隊承諾將提升防禦能力，實施更嚴格的協議管控。