Команда DeFi-платформы Nemo Protocol на базе блокчейна Sui выяснила, что эксплойт, приведший к потере $2,6 млн, стал результатом двух уязвимостей, которые были добавлены в код без прохождения аудита.
Если подробнее, то атака 7 сентября была вызвана двумя проблемами: внутренней функцией мгновенного кредитования, которая по ошибке стала общедоступной, и ошибкой в функции запроса, которая разрешала несанкционированное изменение состояния контракта.
Ещё в январе этого года после получения аудиторского отчёта от компании MoveBit, специализирующейся на безопасности блокчейна, один из разработчиков Nemo внедрил новые, не прошедшие аудит функции в кодовую базу. Затем версия контракта с этим кодом была развёрнута в основной сети.
Кроме того, команда не отреагировала на предупреждение команды безопасности Asymptotic в августе относительно другой связанной уязвимости.
Благодаря этому злоумышленник использовал комбинацию функции мгновенного займа и запроса на изменение состояния, чтобы манипулировать внутренним состоянием контракта и изъять значительные средства из пула ликвидности SY/PT. Украденные криптовалюты были переведены из сети Sui в Ethereum, сейчас большая часть из них хранится на одном адресе.
Во избежание подобных ситуаций разработчики Nemo Protocol устранили уязвимости и отправили обновлённый код на аудит. Одновременно с этим команда протокола сотрудничает со специалистами по безопасности Sui, чтобы отслеживать дальнейшее перемещение средств, и формирует план компенсаций пострадавшим пользователям.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
