開發人員繞過 Nemo 協議導致 260 萬美元智能合約崩潰

2025年9月7日，去中心化金融 (DeFi) 收益平台 Nemo Protocol 遭遇攻擊，損失價值 260 萬美元。 原因是一名開發人員繞過內部審核流程，部署了未經審查的代碼。 該平台的後續報告詳細說明，此次攻擊源於兩個關鍵漏洞：一個閃電貸函數被錯誤地公開，另一個查詢函數可能在未經授權的情況下修改合約狀態。 該漏洞允許攻擊者從市場池中竊取穩定幣，並將被盜資金橋接到

該漏洞的根源可以追溯到2025年1月，當時一名開發人員向MoveBit審計人員提交了包含未經審計功能的代碼。 該開發人員未能突出新增功能，同時將之前已審計的修復與未經審計的功能混合在一起，導致MoveBit基於不完整的信息發布了最終審計報告。 隨後，該開發人員使用單簽名地址（而非已審計確認的哈希值）部署了合約版本0xcf34，繞過了內部審查協議。 Asymptotic團隊此前曾在8月份發現過嚴重漏洞，但該開發人員忽視了漏洞的嚴重性，儘管有可用的支持，卻未能實施必要的修復。

攻擊於 9 月 7 日 UTC 時間 16:00 開始，黑客利用了閃電貸功能和 `get_sy_amount_in_for_exact_py_out` 查詢漏洞。 三十分鐘後，Nemo 團隊檢測到異常，YT 收益率顯示超過 30 倍。 此次事件凸顯了 DeFi 智能合約中未經審查的代碼所帶來的風險，尤其是在未遵循內部治理流程的情況下。 開發人員於 2024 年底秘密部署代碼（旨在通過閃電貸功能增強可組合性），嚴重低估了安全風險，並錯誤地使用了公共方法而不是內部函數，從而構成了主要的攻擊媒介。

被入侵的代碼還包含一些本應只讀但卻被賦予寫入權限的函數，進一步暴露了平台的可操控性。 在收到 MOVEBit 的初始審計報告後，開發人員將未經審計的功能集成到最終代碼庫中。 混合版本既包含已修復的問題，也包含未經審計的新功能，但並未明確標明功能範圍。 這種缺乏透明度和對安全最佳實踐的遵循，為漏洞利用的成功創造了必要的條件。

作為回應，Nemo Protocol 已暫停所有智能合約活動，並正在進行持續調查。 該平台尚未披露根本原因，但已確認金庫資產仍然安全。 此次漏洞利用恰逢 Nemo App 的計劃維護期，平台表示，一旦調查進展順利，將分享更多詳細信息。 同時，此次事件凸顯了 DeFi 平台普遍存在的漏洞，這些平台依賴第三方審計和內部治理，缺乏足夠的監管。 隨著加密貨幣行業的不斷發展，此類事件凸顯了製定更嚴格的代碼驗證協議和多重簽名部署標準，以防止未來再次發生類似漏洞的必要性。

Nemo 協議漏洞是 2025 年一系列備受矚目的 DeFi 漏洞中的最新一起，此前，SwissBorg 遭受了 4100 萬美元的黑客攻擊，Kinto 也因 155 萬美元的漏洞而關閉。 這些事件共同凸顯了針對 DeFi 生態系統的網絡犯罪分子日益精明老練的現狀。 隨著 DeFi 平台功能擴展，涵蓋複雜的金融工具和跨鏈集成，智能合約中存在未被發現的漏洞的風險也在上升。 此次事件警示其他 DeFi 協議，在部署新功能之前，應優先進行嚴格的代碼審計，並執行多層安全檢查。