据项目方称，基于Sui的收益交易协议Nemo因已知漏洞导致损失约259万美元，该漏洞源于未经审计的代码被部署上线。

根据Nemo对9月7日被黑事件的事后分析，一项旨在减少滑点的函数存在缺陷，使攻击者能够更改协议状态。该函数名为“get_sy_amount_in_for_exact_py_out”，在未经过智能合约审计机构Asymptotic审计的情况下被部署到链上。

此外，Asymptotic团队在初步报告中已识别出该问题，但Nemo团队承认“未能及时充分解决这一安全隐患”。

部署新代码时，仅需单一地址签名。开发人员可以在未披露变更内容的情况下，将未经审计的代码部署上线。此外，他未在部署时使用审计中提供的确认哈希，违反了既定流程。

这并非首次出现本可轻松防止的被黑事件。此前，NFT交易平台SuperRare在7月底因基础智能合约漏洞遭遇73万美元攻击，专家表示若采用标准测试流程本可轻易避免该漏洞。

存在漏洞的代码于1月初被部署上线。直到4月，团队才引入了能够防止未经审计代码上线的升级流程。

尽管流程已升级，漏洞已经进入生产环境。Asymptotic于8月11日曾警告Nemo该漏洞，项目方表示，当时专注于其他问题，未能在攻击发生前解决。

分析显示，Nemo协议核心功能现已暂停，以防止进一步损失。团队正在与多家安全团队合作，并提供所有相关地址以协助中心化交易所冻结资产。

团队已开发完成补丁，Asymptotic正在对新代码进行审计。项目方表示，已移除闪电贷功能，修复了存在漏洞的代码，并新增手动重置功能以恢复受影响的数值。Nemo还在设计用户补偿方案，包括在代币经济层面的债务结构设计。

Nemo向用户致歉，并表示已认识到“安全与风险管理需要持续警惕”。团队承诺将提升防御能力，实施更严格的协议管控。

相关推荐：Ethena退出Hyperliquid USDH稳定币竞标，为Native Markets扫清道路

原文: 《 团队承认，审计方在 259 万美元 Nemo 黑客事件发生前曾预警漏洞 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。