La plateforme de trading de rendement Nemo Protocol, basée sur Sui, a annoncé un programme de compensation en jetons de dette pour les utilisateurs touchés par une faille de sécurité de 2,59 millions de dollars survenue le 7 septembre. Ce plan de remboursement intervient après que l'équipe du projet a admis qu'une modification de code non auditée avait rendu son système vulnérable aux attaques.
Dans un article de blog publié dimanche sur Notion, Nemo a dévoilé un plan de redressement en trois étapes reposant sur l'émission de jetons de dette NEOM. Ce programme vise à restituer progressivement de la valeur aux victimes grâce à un fonds de rachat dédié, alimenté par les actifs récupérés, des prêts de liquidités et des investissements.
Les utilisateurs recevront des jetons NEOM indexés 1:1 sur la valeur de leurs pertes en dollars américains, sur la base d'un instantané de la blockchain pris lorsque le protocole a été suspendu.
« Bien que nous aurions préféré rembourser tout le monde directement en dollars américains, nous ne disposons pas de fonds ou de capitaux suffisants pour le faire, c'est pourquoi nous avons adopté la stratégie des jetons de dette comme la voie la plus viable à suivre », a écrit l'équipe du protocole de trading de rendement.
Le protocole Nemo propose une voie de récupération en trois étapes
La première phase du plan de récupération permettra aux utilisateurs de récupérer la valeur résiduelle des pools compromis grâce à une fonction accessible en un clic. Les actifs seront transférés vers de nouveaux contrats intelligents, soumis à de multiples audits et trac conjointement par Nemo et ses partenaires.
La deuxième phase consiste en la distribution des jetons NEOM. Une fois la migration terminée, les victimes recevront simultanément des jetons de créance équivalents à leurs pertes. Par exemple, une perte de 1 $ correspond à un jeton NEOM.
La dernière phase leur offre différentes options pour gérer leurs NEOM. Les personnes touchées par le piratage peuvent immédiatement vendre leurs jetons via des teneurs de marché automatisés ou les conserver en attendant le déblocage ou la récupération de leurs fonds gelés.
Nemo a également lancé un portail dédié pour accompagner les utilisateurs concernés : un module unique offrant trois fonctionnalités principales, dont l’éligibilité et l’affichage des pertes. Une fois le portefeuille de l’utilisateur connecté, le systèmedentmaticses positions sur tous les pools concernés et affiche trois chiffres : la valeur initiale de l’actif, la valeur résiduelle et la perte totale.
Un autre outil est une fonctionnalité de réclamation en un clic, permettant aux utilisateurs de transférer tous les jetons résiduels de fournisseur de liquidités et les jetons de rendement dans des pools detracsécurisés avec une seule confirmation.
Enfin, le module de réclamation NEOM indique le nombre exact de jetons de dette alloués à chaque utilisateur en fonction de sa perte totale et propose une option pour « réclamer des NEOM »
Un pirate informatique utilisant Nemo a exploité une faille dans untracintelligent
D'après un rapport d'analyse post-mortem de Nemo, un acteur malveillant a exploité une faille dans la conception des contrats intelligents de Nemo trac USDC de Circle , en transférant les jetons d'Arbitrum vers Ether avant de les distribuer via plusieurs adresses de blanchiment.
Letracintelligent du protocole comporte une faille dans une fonction qui permet à la plateforme de trading de réduire le slippage. Le code, appelé « get_sy_amount_in_for_exact_py_out », a été ajouté à la blockchain en janvier sans l'audit nécessaire de la part de la société detracintelligents Asymptotic.
Malgré la mise à jour installée en avril pour renforcer les contrôles de déploiement, le code vulnérable était déjà intégré en production. L'attaquant a initié des transferts inter-chaînes le 7 septembre à 16h10 UTC via le protocole de transfert inter-chaînes Circle (CCTP) de Wormhole.
Au total, 2,59 millions de dollars des fonds de Nemo ont été rapidement détournés grâce à des prêts flash provenant de pools incluant sUSDC, sbUSDT et sSUI.
L'équipe d'Asymptotic adentla vulnérabilité dans un rapport préliminaire remis à Nemo le 11 août. Cependant, la plateforme a reconnu ne pas avoir pu résoudre le problème à temps avant que les attaquants ne découvrent la faille.
Après avoir publié un diagnostic complet de l'exploitation, Nemo s'est coordonné avec les équipes de sécurité blockchain et les plateformes d'échange centralisées (CEX) pour geler les actifs volés.
