世界就是草台班子again:nemoprotocol闪电贷池损失259万美元
本文作者:加密韋馱|Skanda 🇹🇭@thecryptoskanda。发文时间:下午5:46 · 2025年9月11日
看完了有点无语,如同@KaMiaoRich所说,教科书级的人祸现场:
CRYPTO MIAO@KaMiaoRich于下午12:03 · 2025年9月11日 NEMO报告 1.损失2.59M,比预期还多一点 2.具体损失见Excel表附件,我没找到在哪 3.审计版的代码没漏洞 4.开发人员把审计版和未审计版混合发布 5.单签就可以上链 6.4月已经改成多签 7. Asymptotic 团队和Sui 推荐的研究员,在早期都注意到了漏洞 8.甚至8月Asymptotic又报告漏洞被发布上链了 9.我们忙,所以只修复了vault的漏洞,market的漏洞没来得及修。(overloaded with vault) 如果说cetus被黑是天灾,nemo绝对是人祸
总结一下@nemoprotocol的事故报告:
1. 总损失在259万美元,主要损失是SY/PT池而不是之前传的YT
2. 事故原因:
– 闪电贷:本来只有内部可以调用的闪电贷功能,被意外地改成了“公开”,导致任何人包括攻击者都能在同一区块里无抵押借出大量资金
– 询价功能能修改价格:原本只能用来查询价格的函数,居然可以修改价格。相当于银行ATM上查余额的时候还能改余额
整个过程,就是攻击者闪电贷借出大量的币,然后修改价格,铸造SY/PT收益代币,砸盘套现,归还闪电贷,换成USDC通过CCTP回到以太坊,换成ETH
3. 为什么没能阻止事故?
– 24年底,Movebit完成了对Nemo的审计初稿
– 25年1月5日Nemo的新版本中添加了涉事的闪电贷和查询功能,且未经审计
– 1月6日,开发者把加了新功能和修正先前审计发现的问题的版本交给了Movebit,但却没有告知Movebit这个新的功能。结果在这种情况下,Movebit发布了终审报告。
由于Nemo没有多重签名,开发者绕开了审计报告确认的哈希,直接部署了带有有问题功能的但却没有被审计的新合约
– 4月,Nemo执行了新的多签和合约升级规范。但是开发者交付的合约已经是有问题的合约,而不是之前审计过的合约
– 8月,Asymptotic安全团队曾经给Nemo发出过关于Vault和Market功能的漏洞警告。结果团队优先修复了Vault,Market功能没修复
– 9月7日,攻击发生
4. 事后解决方案
1. 团队已经通知了各家交易所、执法部门、安全公司以追踪资金
2. 正在准备补偿方案,14天以后公布
3. 制定白帽和bug bounty赏金方案
以上就是Nemo攻击事件报告的主要内容。据我了解Nemo的TGE应该是暂定在10月份。作为Sui上Pendle生态位的竞争者,虽然我个人觉得Sui在yield trading上时机还不成熟,但总的来说Nemo还是至少有的做的
结果很不幸攻击来的非常不是时候,赶在了TGE之前。这样协议能够采用来扭转局势的手段就非常有限了。
当天发现异常,还是看到推上Sui的各位用户报告说Nemo前端掉线。当时还和@pendle_grandma
打趣说要不Pendle来Sui上发个版本吧
结果没想到12小时都没有看到Nemo团队的任何说明,甚至Discord很长一段时间都说没事,置顶推特还是利好公告,最后等来的却是@Scallop_io和@suilendprotocol等各家澄清没有受到Nemo攻击影响的公告
相当于全Sui都知道了,只有Nemo的用户没有受到正式通知,甚至连他们的投资人都是从我这里得知到底发生了什么,在屏幕上默默打出”WTF”
相比Cetus多轮审计都没有被发现的古早漏洞,Nemo的漏洞甚至提早被第三方发现、提醒,是完全可以被避免的。团队提到这是开发资源不足导致的,那么为什么不及早采取措施暂停相关功能等待修复呢?
这不是什么新出现的危险,而是相当常见的攻击可能性。前几次近似攻击还要追溯到21/22年的Cream、YFI攻击
另外,dev单签即可部署新版本,21年就是大众熟知的风险了,那时候包括YFII等团队就开始执行多签或者延迟部署。这都2025了,暴露出本身团队风控意识就不足
Sui在5月之后,整个生态对于安全的要求已经非常严格了。据我所知,需要获得Mysten和Sui的支持,需要经过专门的几家机构完全审计外,还需要经过形式化验证
所谓形式化验证,就是把合约代码转成数学模型,把期望行为写成形式规范,穷举所有的输入导致的输出结果,都不可能导致攻击。这个过程可能需要数月
这会导致Sui更多DeFi项目上线周期被拖长,但是如果想要潜在承担高TVL,这样的措施是必要的
总之问题已经造成,虽然这次攻击我闪避了,但希望团队能妥善处理,尽量降低用户损失
相关文章
