A plataforma de negociação de rendimento Nemo Protocol, baseada em Sui, anunciou um programa de compensação em tokens de dívida para usuários afetados por um ataque que custou US$ 2,59 milhões em 7 de setembro. O plano de reembolso surge após a equipe do projeto admitir que uma alteração de código não auditada deixou seu sistema vulnerável a ataques.
Em uma postagem de blog publicada no domingo no Notion, a Nemo revelou um plano de recuperação em três etapas baseado na emissão de tokens de dívida NEOM. O programa visa devolver valor às vítimas ao longo do tempo por meio de um fundo de resgate dedicado, financiado por ativos recuperados, empréstimos de liquidez e investimentos.
Os usuários receberão tokens NEOM com valor equivalente a 1:1 em relação às suas perdas em dólares americanos, com base em um snapshot on-chain obtido quando o protocolo foi pausado.
“ Embora preferíssemos reembolsar a todos diretamente em dólares americanos, não temos fundos ou capital suficientes para fazê-lo, razão pela qual adotamos a estratégia de tokens de dívida como o caminho mais viável a seguir ”, escreveu a equipe do protocolo de negociação de rendimento.
O protocolo Nemo apresenta um caminho de recuperação em três etapas
A primeira fase do plano de recuperação permitirá aos usuários reaver o valor residual deixado em pools comprometidos por meio de uma função de um clique. Os ativos serão transferidos para novos contratos inteligentes com múltiplas auditorias, trac em conjunto pela Nemo e seus parceiros.
A segunda fase consiste na distribuição de tokens NEOM, em que, após a conclusão do processo de migração, as vítimas receberão simultaneamente tokens de crédito equivalentes às suas perdas. Por exemplo, uma perda de US$ 1 corresponde a um token NEOM.
A última fase oferece opções sobre como lidar com seus NEOM. Aqueles afetados pelo ataque podem sair imediatamente por meio de formadores de mercado automatizados ou manter os tokens enquanto aguardam a recuperação dos fundos congelados ou liberados.
A Nemo também lançou um portal dedicado para dar suporte aos usuários afetados, um módulo centralizado com três funcionalidades principais, incluindo verificação de elegibilidade e visualização de perdas. Assim que o usuário conecta sua carteira, o sistemadentmaticas posições em todas as pools afetadas e exibe três valores: valor original do ativo, valor residual e perda total.
Outra ferramenta é um sistema de reivindicação com um clique, onde os usuários podem transferir todos os tokens residuais do provedor de liquidez e tokens de rendimento para pools detracseguros com uma única confirmação.
Por último, mas não menos importante, está o módulo de reivindicação de NEOM, que mostra o número exato de tokens de dívida alocados a cada usuário com base em sua perda total e uma opção para "reivindicar NEOM"
O explorador Nemo aproveitou-se de umtracinteligente falho
De acordo com um relatório pós-ataque da Nemo, um agente malicioso explorou uma falha no design do contrato inteligente da Nemo trac executar o ataque. A empresa de segurança blockchain PeckShield relatou que o invasor roubou USDC , convertendo os tokens da Arbitrum para Ether antes de distribuí-los por meio de diversos endereços de lavagem de dinheiro.
Notracinteligente do protocolo reside uma função de falha que ajuda a plataforma de negociação a reduzir a derrapagem (slippage). O código, chamado “get_sy_amount_in_for_exact_py_out”, foi adicionado à blockchain em janeiro sem a auditoria necessária da empresa detracinteligentes Asymptotic.
Mesmo após a instalação de uma atualização em abril para reforçar as verificações de implantação, o código vulnerável já havia sido incorporado em produção. O atacante iniciou transferências entre cadeias às 16h10 UTC do dia 7 de setembro por meio do protocolo de transferência entre cadeias Circle (CCTP) do Wormhole.
No total, US$ 2,59 milhões dos fundos da Nemo foram rapidamente desviados por meio de empréstimos relâmpago de pools como sUSDC, sbUSDT e sSUI.
A equipe da Asymptoticdenta vulnerabilidade em um relatório preliminar entregue à Nemo em 11 de agosto. No entanto, a plataforma admitiu que não conseguiu corrigir o problema a tempo, antes que os invasores encontrassem a brecha.
Após divulgar um prognóstico completo da exploração, a Nemo tem coordenado com equipes de segurança de blockchain e exchanges centralizadas (CEXs) para congelar os ativos roubados.
