Die auf Sui basierende Yield-Trading-Plattform Nemo Protocol hat ein Entschädigungsprogramm in Form von Schulden-Token für Nutzer angekündigt, die von einem Exploit im Wert von 2,59 Millionen US-Dollar am 7. September betroffen waren. Der Rückzahlungsplan folgt auf das Eingeständnis des Projektteams, dass eine nicht geprüfte Codeänderung das System anfällig für Angriffe gemacht hatte.
In einem am Sonntag auf Notion veröffentlichten Blogbeitrag stellte Nemo einen dreistufigen Sanierungsplan vor, der auf der Ausgabe von NEOM-Schuldentoken basiert. Das Programm soll den Opfern im Laufe der Zeit durch einen eigens dafür eingerichteten Rückzahlungspool, der mit wiedergewonnenen Vermögenswerten, Liquiditätskrediten und Investitionen finanziert wird, einen Mehrwert bieten.
Die Nutzer erhalten NEOM-Token im Verhältnis 1:1 zum Wert ihrer Verluste in US-Dollar, basierend auf einem On-Chain-Snapshot, der zum Zeitpunkt der Protokollpause erstellt wurde.
„ Obwohl wir es vorgezogen hätten, alle direkt in USD zu entschädigen, verfügen wir nicht über ausreichende Mittel oder eingeworbenes Kapital, um dies zu tun. Aus diesem Grund haben wir uns für die Debt-Token-Strategie als den praktikabelsten Weg entschieden “, schrieb das Team des Yield-Trading-Protokolls.
Das Nemo-Protokoll gibt einen dreistufigen Wiederherstellungspfad aus
In der ersten Phase des Wiederherstellungsplans können Nutzer den in kompromittierten Pools verbliebenen Restwert per Mausklick zurückerhalten. Die Vermögenswerte werden in neue, mehrfach geprüfte Smart Contracts übertragen, trac von Nemo und seinen Partnern gemeinsam verwaltet werden.
In der zweiten Phase werden NEOM-Token verteilt. Nach Abschluss des Migrationsprozesses erhalten die Betroffenen gleichzeitig Schuldtoken im Wert ihrer Verluste. Beispielsweise entspricht ein Verlust von 1 US-Dollar einem NEOM-Token.
In der letzten Phase haben die Betroffenen die Möglichkeit, über den Umgang mit ihren NEOM-Token zu entscheiden. Diejenigen, die vom Hack betroffen sind, können sofort über automatisierte Market Maker aussteigen oder die Token halten, bis die eingefrorenen oder zurückgeforderten Gelder freigegeben werden.
Nemo hat außerdem ein spezielles Portal für betroffene Nutzer eingerichtet. Dieses zentrale Modul bietet drei Hauptfunktionen, darunter die Prüfung der Anspruchsberechtigung und die Verlustanzeige. Sobald ein Nutzer seine Wallet verbindet,dentdas Systemmaticdie Positionen in allen betroffenen Pools und zeigt drei Werte an: den ursprünglichen Vermögenswert, den Restwert und den Gesamtverlust.
Ein weiteres Tool ist ein Ein-Klick-Anspruchstool, mit dem Benutzer alle verbleibenden Liquiditätsanbieter-Token und Rendite-Token mit einer einzigen Bestätigung in sicheretracübertragen können.
Zu guter Letzt gibt es das NEOM-Anspruchsmodul, das die genaue Anzahl der jedem Benutzer basierend auf seinem Gesamtverlust zugeteilten Schulden-Token anzeigt und die Option bietet, „NEOM geltend zu machen“
Der Nemo-Exploiter nutzte einen fehlerhaften Smarttracaus
Laut einem Untersuchungsbericht von Nemo nutzte ein Angreifer eine Schwachstelle im Smart-Contract-Design von Nemo aus, trac den Hack durchzuführen. Das Blockchain-Sicherheitsunternehmen PeckShield berichtete, dass der Angreifer den USDC , die Token von Arbitrum in Ether transferierte und sie anschließend über mehrere Geldwäscheadressen verteilte.
Im Smarttracdes Protokolls befindet sich eine fehlerhafte Funktion, die der Handelsplattform hilft, Slippage zu reduzieren. Der Code mit dem Namen „get_sy_amount_in_for_exact_py_out“ wurde im Januar ohne die erforderliche Prüfung durch das Smart-trac-Unternehmen Asymptotic in die Blockchain eingefügt.
Selbst nach der Installation eines Updates im April zur Verschärfung der Sicherheitsüberprüfungen war der anfällige Code bereits in die Produktionsumgebung eingebettet. Der Angreifer initiierte am 7. September um 16:10 UTC kettenübergreifende Überweisungen über das Cross-Chain-Transfer-Protokoll (CCTP) von Wormhole (Circle).
Insgesamt wurden 2,59 Millionen US-Dollar an Nemos Geldern durch schnelle Blitzkredite aus Pools wie sUSDC, sbUSDT und sSUI abgezweigt.
Das Team von Asymptoticdentdie Schwachstelle in einem vorläufigen Bericht, der am 11. August an Nemo übermittelt wurde. Die Plattform räumte jedoch ein, dass sie das Problem nicht rechtzeitig beheben konnte, bevor Angreifer die Sicherheitslücke ausnutzten.
Nach der Veröffentlichung einer vollständigen Analyse des Exploits koordiniert Nemo die Zusammenarbeit mit Blockchain-Sicherheitsteams und zentralisierten Börsen (CEXs), um gestohlene Vermögenswerte einzufrieren.
