Nemo представил программу компенсации после взлома на $2.6 млн
В результате эксплойта 7 сентября пользователи понесли убытки. Проект запускает механизм компенсации в долговых токенах и усиливает процессы аудиторской валидации кода.
Злоумышленники вывели $2.4 млн из протокола Nemo, воспользовавшись уязвимостями в смарт-контрактах Sui. Ошибки касались flash loan-функции и функции запроса, допускавшей внешние изменения состояния. Активы были переброшены в Ethereum через Wormhole.
В ответ команда Nemo внедрила программу компенсации на базе долговых токенов и усилила контроль над деплоем кода, ранее осуществлявшимся без должного аудита.
Ошибка стоила дорого: разработчик допустил в продакшн код без аудита, что открыло доступ к flash loan-функции и позволило атакующим использовать брешь в логике запроса. Кроме того, система управления разрешала вносить критические правки одной подписью — аудит фактически оказался формальностью.
После взлома ТVL-объемы протокола сократились с $6 млн до $1.5 млн. Nemo остановил работу ядра, удалил опасные функции, закрыл уязвимость и запустил экстренный аудит.
В ответ команда Nemo внедрила программу компенсации на базе долговых токенов и усилила контроль над деплоем кода, ранее осуществлявшимся без должного аудита.
Ошибка стоила дорого: разработчик допустил в продакшн код без аудита, что открыло доступ к flash loan-функции и позволило атакующим использовать брешь в логике запроса. Кроме того, система управления разрешала вносить критические правки одной подписью — аудит фактически оказался формальностью.
После взлома ТVL-объемы протокола сократились с $6 млн до $1.5 млн. Nemo остановил работу ядра, удалил опасные функции, закрыл уязвимость и запустил экстренный аудит.
Протокол предлагает debt-токены как инструмент отсроченного возмещения — пользователи смогут со временем восстановить часть средств. Эти обязательства обещают встроить в экономику проекта, но подробностей пока нет.
Примечательно, что ещё до атаки Asymptotic предупреждала о рисках, однако реакция не последовала. Уязвимый фрагмент был добавлен позже — вне рамок завершённых аудитов.
Даже соблюдение стандартных норм безопасности не уберегло Nemo от атаки: децентрализованная модель управления допустила загрузку кода одним участником — без аудита и без мультиподписи.
Платформа работает на блокчейне Sui и специализируется на торговле доходностью — пользователи могут менять будущие процентные доходы. До взлома в протоколе хранилось свыше $6 млн.
Это уже не единичный случай в 2025 году — атаки через flash-loan и слабости в системе управления повторяются. Использование кроссчейн-мостов затрудняет возврат активов.
Примечательно, что ещё до атаки Asymptotic предупреждала о рисках, однако реакция не последовала. Уязвимый фрагмент был добавлен позже — вне рамок завершённых аудитов.
Даже соблюдение стандартных норм безопасности не уберегло Nemo от атаки: децентрализованная модель управления допустила загрузку кода одним участником — без аудита и без мультиподписи.
Платформа работает на блокчейне Sui и специализируется на торговле доходностью — пользователи могут менять будущие процентные доходы. До взлома в протоколе хранилось свыше $6 млн.
Это уже не единичный случай в 2025 году — атаки через flash-loan и слабости в системе управления повторяются. Использование кроссчейн-мостов затрудняет возврат активов.
Автор
Себила Фейн познакомилась с технологией блокчейн, когда вместе с друзьями экспериментировала с NFT — задолго до того, как термин стал популярным. Ее интересуют истории людей, стоящих за смарт-контрактами, — будь то художница из маленького городка, выпускающая свой первый токен, или DAO, голосующая за гранты в поддержку борьбы с изменением климата. Для нее письмо — это сочетание технических знаний и искренней эмпатии.
