O Nemo Protocol lança programa de tokens de dívida para vítimas de ataque hacker que resultou em prejuízo de US$ 2,6 milhões

A plataforma de negociação de rendimento Nemo Protocol, baseada em Sui, anunciou um programa de compensação em tokens de dívida para usuários afetados por um ataque que custou US$ 2,59 milhões em 7 de setembro. O plano de reembolso surge após a equipe do projeto admitir que uma alteração de código não auditada deixou seu sistema vulnerável a ataques.

Em uma postagem de blog publicada no domingo no Notion, a Nemo revelou um plano de recuperação em três etapas baseado na emissão de tokens de dívida NEOM. O programa visa devolver valor às vítimas ao longo do tempo por meio de um fundo de resgate dedicado, financiado por ativos recuperados, empréstimos de liquidez e investimentos.

Os usuários receberão tokens NEOM com valor equivalente a 1:1 em relação às suas perdas em dólares americanos, com base em um snapshot on-chain obtido quando o protocolo foi pausado. 

“Embora preferíssemos reembolsar a todos diretamente em dólares americanos, não temos fundos ou capital suficientes para fazê-lo, razão pela qual adotamos a estratégia de tokens de dívida como o caminho mais viável a seguir”, escreveu a equipe do protocolo de negociação de rendimento.

O protocolo Nemo apresenta um caminho de recuperação em três etapas

A primeira fase do plano de recuperação permitirá aos usuários reaver o valor residual deixado em pools comprometidos por meio de uma função de um clique. Os ativos serão transferidos para novos contratos inteligentes com múltiplas auditorias,tracem conjunto pela Nemo e seus parceiros.

A segunda fase consiste na distribuição de tokens NEOM, em que, após a conclusão do processo de migração, as vítimas receberão simultaneamente tokens de crédito equivalentes às suas perdas. Por exemplo, uma perda de US$ 1 corresponde a um token NEOM.

A última fase oferece opções sobre como lidar com seus NEOM. Aqueles afetados pelo ataque podem sair imediatamente por meio de formadores de mercado automatizados ou manter os tokens enquanto aguardam a recuperação dos fundos congelados ou liberados.

A Nemo também lançou um portal dedicado para dar suporte aos usuários afetados, um módulo centralizado com três funcionalidades principais, incluindo verificação de elegibilidade e visualização de perdas. Assim que o usuário conecta sua carteira, o sistemadentmaticas posições em todas as pools afetadas e exibe três valores: valor original do ativo, valor residual e perda total.

Outra ferramenta é um sistema de reivindicação com um clique, onde os usuários podem transferir todos os tokens residuais do provedor de liquidez e tokens de rendimento para pools detracseguros com uma única confirmação.

Por último, mas não menos importante, está o módulo de reivindicação de NEOM, que mostra o número exato de tokens de dívida alocados a cada usuário com base em sua perda total e uma opção para "reivindicar NEOM"

O explorador Nemo aproveitou-se de umtracinteligente falho

De acordo com um relatório pós-ataque da Nemo, um agente malicioso explorou uma falha no design do contrato inteligente da Nemotracexecutar o ataque. A empresa de segurança blockchain PeckShield relatou que o invasor roubou USDC , convertendo os tokens da Arbitrum para Ether antes de distribuí-los por meio de diversos endereços de lavagem de dinheiro.

Notracinteligente do protocolo reside uma função de falha que ajuda a plataforma de negociação a reduzir a derrapagem (slippage). O código, chamado “get_sy_amount_in_for_exact_py_out”, foi adicionado à blockchain em janeiro sem a auditoria necessária da empresa detracinteligentes Asymptotic. 

Mesmo após a instalação de uma atualização em abril para reforçar as verificações de implantação, o código vulnerável já havia sido incorporado em produção. O atacante iniciou transferências entre cadeias às 16h10 UTC do dia 7 de setembro por meio do protocolo de transferência entre cadeias Circle (CCTP) do Wormhole. 

No total, US$ 2,59 milhões dos fundos da Nemo foram rapidamente desviados por meio de empréstimos relâmpago de pools como sUSDC, sbUSDT e sSUI.

A equipe da Asymptoticdenta vulnerabilidade em um relatório preliminar entregue à Nemo em 11 de agosto. No entanto, a plataforma admitiu que não conseguiu corrigir o problema a tempo, antes que os invasores encontrassem a brecha. 

Após divulgar um prognóstico completo da exploração, a Nemo tem coordenado com equipes de segurança de blockchain e exchanges centralizadas (CEXs) para congelar os ativos roubados.