„Nemo Protocol“ paskelbė pomirtinę ataskaitą apie išnaudojimą, kuris paskatino protokolą prarasti 2,59 mln. USD. Ataskaitoje paaiškėjo, kad išnaudojimą sukėlė kūrėjo kodas, kurį nejaudino „MovitBit“ komanda.
Santrauka
- „Nemo Protocol“ rugsėjo 7 d. Išnaudojimas buvo neaudituoto kodekso, kurį išsiuntė vienas iš jų kūrėjų, rezultatas.
- Šis išnaudojimas prarado 2,4 mln. USD, kuriuos pavogė įsilaužėlis, kuris vėliau buvo sujungtas į „Ethereum“.
„Nemo“ protokolas rugsėjo 7 d. Išnaudojo išnaudojimą, dėl kurio bendra vertė buvo užrakinta nuo daugiau nei 6 milijonų dolerių iki maždaug 1,5 milijono dolerių. Iš SUI (SUI) pagrįsto DEFI pelningumo platformos protokolo buvo pavogta apie 2,4 mln. USD.
Po trijų dienų platforma grįžo su pomirtine ataskaita, kurioje paaiškinta, kas iš tikrųjų paskatino išnaudoti.
„Šiandien mes išleidžiame visą savo pranešimą apie įvykį, kad suteiktume skaidrumą mūsų atsakyme, įskaitant pagrindinę priežastį, mokymąsi ir kitus veiksmus“, – neseniai paskelbtame įraše rašė protokolas.
Remiantis ataskaita, bevardis kūrėjas atidengė naujas funkcijas be audito patvirtinimo ir pradėjo jas diegti. Kūrėjas nesugebėjo informuoti „MoveBit“ auditorių, kad tai buvo naujas papildymas, susimaišęs į senus audituotus pataisymus.
Iš šios silpnumo užpuolikas pasinaudojo dviem pagrindiniais elementais. Pirma, „Flash“ paskolos funkcija, kuri buvo klaidingai palikta viešai, o ne privačiai. Antra, ydinga kainų nustatymo funkcija, galinti pakeisti vidinius sutarties duomenis, net jei ji turėjo skaityti tik duomenis.
Šie du sistemos trūkumai kartu leido įsilaužėliui išvežti turtą iš Nemo likvidumo fondo. Vėliau pavogtos lėšos buvo sujungtos su „Ethereum“ (ETH) per „Wormhole CCTP“, o šiuo metu yra 2,4 mln.
Kaip įvyko NEMO protokolo išnaudojimas?
Kai įvyko išpuolis, įsilaužėlis išnaudojo sistemos pažeidžiamumą skolintis, apsikeisti ir mėtų žetonams tokiu būdu, kuris manipuliuotų kainomis ir nusausino baseiną. „Nemo“ komanda pastebėjo neįprastą derlių, kuris per pirmąsias 30 minučių rodė daugiau nei 30 kartų grąžą ir pristabdė protokolą per daugialypę piniginę.
Šiuo metu dauguma pavogtų lėšų jau buvo perkeltos iš grandinės.
Atsakydamas Nemo ėmėsi priemonių pažeidžiamumams pataisyti. „Flash“ paskolos funkcija buvo pašalinta, o kainų nustatymo įrankis buvo ištaisytas taip, kad ji negalėtų pakeisti vidinių duomenų. Komanda taip pat ištaisė dar vieną susijusią klaidą, kuri gali paveikti valiutų kursus. Vyksta skubios pagalbos auditai, o protokolas pažadėjo pristatyti kelias apsaugos firmas nepriklausomoms atnaujinto kodo apžvalgoms.
Be to, NEMO protokolas planuoja iš naujo nustatyti sugadintus grandinės duomenis ir iš naujo subalansuoti jų likvidumo telkinius, kad protokolas galėtų vėl veikti.
Kokie yra kiti veiksmai?
Remiantis pomirtine ataskaita, „Nemo“ rengia nukentėjusių vartotojų kompensacijų planą. Komanda taip pat bendradarbiauja su biržomis, apsaugos firmomis ir teisėsauga, norėdama sekti pavogtą turtą ir užkirsti kelią įsilaužėliams likviduoti lėšų.
Nemo taip pat žvelgia į ilgalaikius pakeitimus, kad pagerintų saugumą. Tai apima griežtesnius atnaujinimų valdiklius, patikimesnį auditą, platesnes klaidų palaimos programas ir didesnį dėmesį skaidrumui.
Ateityje komanda yra įsipareigojusi kurti stipresnę saugumo praktiką, geresnę atskaitomybę ir glaudesnį bendravimą su vartotojais, kad būtų galima atkurti pasitikėjimą ir atsparumą.
