Nemo Protocol, piattaforma di trading di rendimenti basata su Sui, ha annunciato un programma di compensazione in token di debito per gli utenti colpiti da un exploit da 2,59 milioni di dollari il 7 settembre. Il piano di rimborso arriva dopo che il team del progetto ha ammesso che una modifica al codice non verificata ha reso il suo sistema vulnerabile agli attacchi.
In un post pubblicato domenica sul blog Notion, Nemo ha svelato un piano di recupero in tre fasi basato sull'emissione di token di debito NEOM. Il programma mira a restituire valore alle vittime nel tempo attraverso un pool di riscatto dedicato finanziato da asset recuperati, prestiti di liquidità e investimenti.
Gli utenti riceveranno token NEOM agganciati 1:1 al valore delle loro perdite in termini di USD, in base a uno snapshot onchain acquisito quando il protocollo era in pausa.
" Sebbene avremmo preferito rimborsare tutti direttamente in USD, non abbiamo fondi sufficienti o capitale raccolto per farlo, motivo per cui abbiamo adottato la strategia dei token di debito come la strada più praticabile da seguire ", ha scritto il team del protocollo di trading sui rendimenti.
Il protocollo Nemo emette un percorso di recupero in tre fasi
La prima fase del piano di ripristino consentirà agli utenti di recuperare il valore residuo nei pool compromessi tramite una funzione one-click. Gli asset saranno trasferiti in nuovi smart contract multi-audit trac congiuntamente da Nemo e dai suoi partner.
La seconda fase è la distribuzione dei token NEOM: una volta completato il processo di migrazione, le vittime riceveranno contemporaneamente token di debito equivalenti alle loro perdite. Ad esempio, una perdita di 1 dollaro si traduce in un token NEOM.
L'ultima fase offre loro la possibilità di scegliere come gestire i propri NEOM. Chi è stato colpito dall'hack può uscire immediatamente tramite market maker automatici o conservare i token in attesa del recupero dei fondi congelati o recuperati.
Nemo ha inoltre lanciato un portale dedicato per supportare gli utenti interessati, un modulo completo con tre funzionalità principali, tra cui l'idoneità e la visualizzazione delle perdite. Una volta che un utente collega il proprio portafoglio, il sistemadentmaticle posizioni su tutti i pool interessati e visualizza tre cifre: valore dell'asset originale, valore residuo e perdita totale.
Un altro è uno strumento di richiesta con un clic, in cui gli utenti possono trasferire tutti i token residui del fornitore di liquidità e i token di rendimento in pool ditracsicuri con una sola conferma.
Ultimo ma non meno importante è il modulo di richiesta NEOM, che mostra il numero esatto di token di debito assegnati a ciascun utente in base alla perdita totale e un'opzione per "richiedere NEOM"
Lo sfruttatore di Nemo ha sfruttato uno smarttracdifettoso
Secondo un rapporto post-mortem di Nemo, un malintenzionato ha sfruttato una falla nella progettazione dello smart contract di Nemo trac eseguire l'attacco. La società di sicurezza blockchain PeckShield ha riferito che l'aggressore ha rubato USDC , collegando i token da Arbitrum a Ether prima di distribuirli attraverso diversi indirizzi di riciclaggio.
Nello smarttracdel protocollo è presente una funzione di errore che aiuta la piattaforma di trading a ridurre lo slippage. Il codice, denominato "get_sy_amount_in_for_exact_py_out", è stato aggiunto onchain a gennaio senza la necessaria verifica da parte della società di smarttracAsymptotic.
Anche quando ad aprile è stato installato un aggiornamento per rafforzare i controlli di distribuzione, il codice vulnerabile era già stato incorporato in produzione. L'aggressore ha avviato trasferimenti cross-chain alle 16:10 UTC del 7 settembre tramite il protocollo di trasferimento cross-chain Circle (CCTP) di Wormhole.
In totale, 2,59 milioni di dollari dei fondi di Nemo sono stati rapidamente sottratti tramite prestiti flash da pool tra cui sUSDC, sbUSDT e sSUI.
Il team di Asymptoticdentla vulnerabilità in un rapporto preliminare consegnato a Nemo l'11 agosto. Tuttavia, la piattaforma ha ammesso di non essere riuscita a risolvere il problema in tempo prima che gli aggressori trovassero la falla.
Dopo aver pubblicato una prognosi completa dell'exploit, Nemo ha iniziato a collaborare con i team di sicurezza blockchain e gli exchange centralizzati (CEX) per congelare i beni rubati.
