Nemo представив програму компенсації після зламу на $2,6 млн
Унаслідок експлойта 7 вересня користувачі зазнали збитків. Проєкт запускає механізм компенсації в боргових токенах і посилює процеси аудиторської валідації коду.
Зловмисники вивели $2,4 млн з протоколу Nemo, скориставшись вразливостями в смарт-контрактах Sui. Помилки стосувалися функції flash loan і функції запиту, що допускала зовнішні зміни стану. Активи були перекинуті в Ethereum через Wormhole.
У відповідь команда Nemo впровадила програму компенсації на базі боргових токенів і посилила контроль над деплоєм коду, який раніше здійснювався без належного аудиту.
Помилка коштувала дорого: розробник допустив в продакшн код без аудиту, що відкрило доступ до flash loan-функції та дозволило зловмисникам скористатися вразливістю в логіці запиту. Крім того, система управління передбачала внесення критичних змін одним підписом — аудит фактично виявився формальністю.
Після злому ТVL-обсяги протокола скоротилися з $6 млн до $1,5 млн. Nemo зупинив роботу ядра, видалив небезпечні функції, закрив вразливість і запустив екстрений аудит.
У відповідь команда Nemo впровадила програму компенсації на базі боргових токенів і посилила контроль над деплоєм коду, який раніше здійснювався без належного аудиту.
Помилка коштувала дорого: розробник допустив в продакшн код без аудиту, що відкрило доступ до flash loan-функції та дозволило зловмисникам скористатися вразливістю в логіці запиту. Крім того, система управління передбачала внесення критичних змін одним підписом — аудит фактично виявився формальністю.
Після злому ТVL-обсяги протокола скоротилися з $6 млн до $1,5 млн. Nemo зупинив роботу ядра, видалив небезпечні функції, закрив вразливість і запустив екстрений аудит.
Nemo пропонує debt-токени як інструмент відстроченого відшкодування — користувачі зможуть з часом відновити частину коштів. Ці зобов'язання обіцяють вбудувати в економіку проєкту, але подробиць поки немає.
Примітно, що ще до атаки Asymptotic попереджала про ризики, проте реакції не було. Вразливий фрагмент був доданий пізніше — поза межами завершених аудитів.
Навіть дотримання стандартних норм безпеки не вберегло Nemo від атаки: децентралізована модель управління допустила завантаження коду одним учасником — без аудиту і без мультипідпису.
Платформа працює на блокчейні Sui і спеціалізується на торгівлі прибутковістю — користувачі можуть змінювати майбутні процентні доходи. До злому в протоколі зберігалося понад $6 млн.
Це вже не поодинокий випадок у 2025 році — атаки через flash-loan і слабкості в системі управління повторюються. Водночас використання кросчейн-мостів ускладнює повернення активів.
Примітно, що ще до атаки Asymptotic попереджала про ризики, проте реакції не було. Вразливий фрагмент був доданий пізніше — поза межами завершених аудитів.
Навіть дотримання стандартних норм безпеки не вберегло Nemo від атаки: децентралізована модель управління допустила завантаження коду одним учасником — без аудиту і без мультипідпису.
Платформа працює на блокчейні Sui і спеціалізується на торгівлі прибутковістю — користувачі можуть змінювати майбутні процентні доходи. До злому в протоколі зберігалося понад $6 млн.
Це вже не поодинокий випадок у 2025 році — атаки через flash-loan і слабкості в системі управління повторюються. Водночас використання кросчейн-мостів ускладнює повернення активів.
Автор
Себіла Фейн познайомилася із технологією блокчейн, коли разом із друзями експериментувала з NFT — задовго до того, як термін став популярним. Її цікавлять історії людей, що стоять за смартконтрактами, — чи то художниця з маленького містечка, яка випускає свій перший токен, чи то DAO, що голосує за гранти на підтримку боротьби зі змінами клімату. Для неї письмо — це поєднання технічних знань та щирої емпатії.
