Protocolo Nemo sofre hack de US$ 2,6 milhões devido à implantação de código não auditado
A plataforma DeFi Nemo Protocol, construída na blockchain Sui, revelou que uma exploração de US$ 2,6 milhões no início deste mês resultou da implantação de código não auditado na mainnet. A equipe admitiu que um desenvolvedor introduziu novos recursos após uma auditoria inicial, que nunca foram revisados por empresas de segurança antes de entrarem em operação.
Em um relatório divulgado na quarta-feira à noite, a Nemo afirmou: "A causa raiz de governança foi a dependência do protocolo em um endereço de assinatura única para atualizações, que falhou em impedir a implantação de código que não passou por escrutínio rigoroso."
Como a falha foi introduzida
O relatório rastreou o problema até janeiro de 2025. Após a empresa de segurança MoveBit completar sua primeira auditoria, um desenvolvedor adicionou dois novos elementos: uma função de empréstimo relâmpago que estava erroneamente pública e uma função de consulta que permitia alterações de estado não autorizadas.
Em vez de implantar a versão auditada, o desenvolvedor enviou este código alterado para a mainnet por meio de uma carteira de assinatura única. A Nemo posteriormente migrou para atualizações de multi-assinatura em abril, mas até lá o contrato vulnerável já estava ativo.
Novos alertas surgiram em agosto, quando a empresa de segurança Asymptotic sinalizou um risco relacionado de modificação de estado. O problema, no entanto, ficou sem resolução conforme a prioridade mudou para o produto Vault da Nemo.
Exploração e rastreamento de fundos
Em 7 de setembro, os atacantes aproveitaram as duas falhas. Eles usaram a função de empréstimo relâmpago exposta junto com a consulta defeituosa para distorcer a precificação, cunhar tokens SY extras e esvaziar fundos do pool SY/PT.
A maior parte dos fundos roubados foi transferida da Sui para a Ethereum via CCTP da Wormhole. Cerca de US$ 2,4 milhões permanecem em uma única carteira Ethereum. Arbitrageurs secundários também aproveitaram o pool manipulado para extrair recompensas adicionais.
Resposta do protocolo
A Nemo rapidamente paralisou suas funções principais após detectar saltos incomuns de yield. A equipe desde então corrigiu as falhas, removeu a função de empréstimo relâmpago e bloqueou todos os métodos de consulta para somente leitura. Uma auditoria emergencial está em andamento com a Asymptotic.
"Apesar de múltiplas auditorias e salvaguardas, reconhecemos que permitimos confiar excessivamente em garantias passadas, em vez de manter um escrutínio intransigente a cada etapa", declarou a Nemo.
O protocolo está trabalhando com empresas de segurança, exchanges e autoridades policiais para rastrear os fundos. Um plano de compensação aos usuários, incluindo possível reestruturação de dívidas, está sendo preparado.
Próximos passos
A Nemo classificou o incidente como "uma lição dolorosa, mas importante" e prometeu apertar os procedimentos de atualização com proteções de multi-assinatura, pontos de controle de auditoria mais rigorosos e um programa ampliado de recompensa por bugs.
A equipe afirmou que a restauração da confiança dependerá de transparência e melhorias de segurança enquanto continua trabalhando no relançamento das operações.
Traduzido por AltcoinSamurai
