La plataforma de comercio de rendimiento basada en Sui, Nemo Protocol, ha anunciado un programa de compensación de tokens de deuda para los usuarios afectados por un exploit de 2,59 millones de dólares el 7 de septiembre. El plan de pago se produce después de que el equipo del proyecto admitiera que un cambio de código no auditado dejó su sistema vulnerable a ataques.
En una entrada de blog publicada el domingo en Notion, Nemo reveló un plan de recuperación de tres pasos basado en la emisión de tokens de deuda NEOM. El programa busca devolver valor a las víctimas con el tiempo mediante un fondo de reembolso específico financiado con activos recuperados, préstamos de liquidez e inversiones.
Los usuarios recibirán tokens NEOM vinculados 1:1 al valor de sus pérdidas en términos de USD, según una instantánea en cadena tomada cuando se pausó el protocolo.
“ Si bien hubiéramos preferido reembolsar a todos directamente en USD, no contamos con fondos suficientes ni capital recaudado para hacerlo, por lo que adoptamos la estrategia del token de deuda como el camino más viable a seguir ”, escribió el equipo del protocolo de comercio de rendimiento.
El protocolo Nemo emite una ruta de recuperación de tres pasos
En la primera fase del plan de recuperación, los usuarios recuperarán el valor residual de los pools comprometidos con un solo clic. Los activos se transferirán a nuevos trac , gestionados conjuntamente por Nemo y sus socios.
La segunda fase consiste en la distribución de tokens NEOM. Tras completar la migración, las víctimas recibirán simultáneamente tokens de deuda equivalentes a sus pérdidas. Por ejemplo, una pérdida de $1 equivale a un token NEOM.
La última fase les ofrece opciones para gestionar sus NEOM. Los afectados por el hackeo pueden salir inmediatamente a través de creadores de mercado automatizados o conservar los tokens mientras esperan la recuperación de los fondos congelados o reclamados.
Nemo también ha lanzado un portal dedicado a apoyar a los usuarios afectados, un módulo integral con tres funciones principales: elegibilidad y visualización de pérdidas. Una vez que el usuario conecta su billetera, el sistemadentmaticlas posiciones en todos los pools afectados y muestra tres cifras: valor original del activo, valor residual y pérdida total.
Otra es una herramienta de reclamo con un solo clic, donde los usuarios pueden transferir todos los tokens de proveedores de liquidez residuales y tokens de rendimiento a grupos detracseguros con una sola confirmación.
Por último, pero no menos importante, está el módulo de reclamación de NEOM, que muestra la cantidad exacta de tokens de deuda asignados a cada usuario en función de su pérdida total y una opción para "reclamar NEOM"
El explotador de Nemo se aprovechó de untracinteligente defectuoso
Según un informe post mortem de Nemo, un actor malicioso aprovechó una falla en el diseño del contrato inteligente de Nemo trac ejecutar el ataque. La empresa de seguridad blockchain PeckShield informó que el atacante robó la USDC , conectando los tokens de Arbitrum a Ether antes de distribuirlos a través de varias direcciones de lavado de activos.
Eltracinteligente del protocolo contiene una función de detección de fallas que ayuda a la plataforma de negociación a reducir el deslizamiento. El código, llamado "get_sy_amount_in_for_exact_py_out", se añadió a la cadena en enero sin la auditoría necesaria de la empresa detracinteligentes Asymptotic.
Incluso cuando se instaló una actualización en abril para reforzar las comprobaciones de implementación, el código vulnerable ya se había integrado en producción. El atacante inició transferencias entre cadenas a las 16:10 UTC del 7 de septiembre mediante el protocolo de transferencia entre cadenas Circle (CCTP) de Wormhole.
En total, 2,59 millones de dólares de los fondos de Nemo se desviaron rápidamente mediante préstamos flash de fondos como sUSDC, sbUSDT y sSUI.
El equipo de Asymptoticdentla vulnerabilidad en un informe preliminar entregado a Nemo el 11 de agosto. Sin embargo, la plataforma admitió que no abordó el problema a tiempo antes de que los atacantes encontraran la falla.
Después de publicar un pronóstico completo del exploit, Nemo ha estado coordinando con equipos de seguridad de blockchain e intercambios centralizados (CEX) para congelar los activos robados.
