Озвучено причини злому протоколу Nemo
У криптоспільноті обговорюють болючий інцидент: платформа Nemo зіткнулася з масштабним зломом, який призвів до серйозних наслідків для учасників проєкту. У цій статті розповідаємо про актуальні деталі, причини та реакцію команди Nemo на кризу.
Як ми писали кілька днів тому, децентралізований протокол Nemo був змушений призупинити роботу своїх контрактів після того, як зловмисники вивели з його пулів $2,59 млн у стейблкоїнах USDC.
Історія злому отримала продовження: розробники опублікували детальний звіт про причини та хід інциденту. У ньому зазначається, що основною проблемою стала вразливість у неаудованому коді одного зі смартконтрактів протоколу.
Зокрема, у смартконтракті, що відповідає за розрахунок вартості токенів всередині пулу, були відсутні необхідні перевірки на коректність значень. Це дозволило зловмисникам за допомогою спеціально створених контрактів змінити внутрішні параметри ринку, що дало можливість вивести велику суму коштів. Критичним фактором стало те, що ця ділянка коду не проходила незалежного аудиту і не була своєчасно виявлена розробниками.
Згідно з офіційним звітом, зловмисники скористалися помилкою у функції розрахунку справедливої вартості (fairPrice), що відповідає за ціноутворення токенів. У результаті вони змогли спотворити обчислення і провести серію операцій, під час яких кошти були переміщені з платформи на сторонні адреси. За словами представників Nemo, в основній логіці протоколу ця вразливість була відсутня, тому постраждав лише один з додаткових модулів, на який розробники не звернули особливої уваги.
Після інциденту команда Nemo оперативно призупинила роботу всіх контрактів і звернулася до зовнішніх експертів для розслідування та аналізу того, що сталося. Були зроблені спроби відстежити рух вкрадених коштів: частину транзакцій вдалося зафіксувати, але значна частка активів все ще перебуває під контролем зловмисників.
Наразі команда працює над посиленням системи безпеки, зокрема планує провести повний аудит всіх без винятку модулів і запровадити додаткові заходи захисту. Розробники активно взаємодіють з криптобіржами, щоб заблокувати спроби виведення коштів, і підтримують зв'язок з правоохоронними органами. Очікується, що користувачам повернуть вкрадені кошти.
У Nemo наголошують, що відкриті до чесного діалогу зі спільнотою та розраховують на співпрацю з іншими учасниками ринку для мінімізації збитків та запобігання таким інцидентам у майбутньому.
Рекомендуємо