Платформа для торговли доходными токенами Nemo Protocol, базирующаяся в Sui, объявила о программе компенсации в виде токенов для пользователей, пострадавших от взлома на сумму 2,59 миллиона долларов 7 сентября. План погашения долга был предложен после того, как команда проекта признала, что непроверенное изменение кода сделало ее систему уязвимой для атак.
В опубликованном в воскресенье сообщении в блоге Notion компания Nemo представила трехэтапный план восстановления, основанный на выпуске долговых токенов NEOM. Программа призвана со временем вернуть средства пострадавшим за счет специального пула погашения, финансируемого за счет возвращенных активов, ликвидных займов и инвестиций.
Пользователи получат токены NEOM, привязанные в соотношении 1:1 к стоимости их убытков в долларах США, на основе снимка блокчейна, сделанного во время приостановки работы протокола.
« Хотя мы предпочли бы возместить всем убытки напрямую в долларах США, у нас недостаточно средств или привлеченного капитала для этого, поэтому мы выбрали стратегию с использованием долговых токенов как наиболее жизнеспособный путь », — написала команда протокола доходной торговли.
Протокол Nemo предлагает трехэтапный путь восстановления
На первом этапе плана восстановления пользователи смогут вернуть остаточную стоимость, оставшуюся в скомпрометированных пулах, с помощью функции, доступной в один клик. Активы будут переведены в новые, прошедшие многостороннюю проверку смарт-контракты trac управляемые совместно компанией Nemo и ее партнерами.
Второй этап — распределение токенов NEOM, в ходе которого после завершения процесса миграции пострадавшие одновременно получат токены, эквивалентные их убыткам. Например, убыток в 1 доллар США соответствует одному токену NEOM.
На последнем этапе им предоставляется выбор, как распорядиться своими NEOM. Пострадавшие от взлома могут немедленно выйти через автоматизированных маркет-мейкеров или сохранить токены, ожидая восстановления замороженных или возвращенных средств.
Компания Nemo также запустила специальный портал для поддержки пострадавших пользователей — универсальный модуль с тремя основными функциями, включая проверку соответствия критериям и отображение убытков. После подключения кошелька системаmaticdentпозиции во всех затронутых пулах и отображает три показателя: первоначальную стоимость актива, остаточную стоимость и общие убытки.
Ещё один инструмент — это система подтверждения в один клик, позволяющая пользователям переводить все остаточные токены поставщика ликвидности и токены дохода в защищённые пулыtracс помощью одного подтверждения.
И наконец, модуль "Заявки на NEOM", который показывает точное количество токенов долга, выделенных каждому пользователю в зависимости от его общих потерь, а также предоставляет возможность "заявить права на NEOM"
Злоумышленник, использовавший уязвимость Nemo, воспользовался уязвимостью смарт-trac
Согласно отчету Nemo, злоумышленник использовал уязвимость в конструкции смарт-контракта Nemo trac осуществления взлома. Компания PeckShield, специализирующаяся на безопасности блокчейна, сообщила, что злоумышленник украл USDC , переведя токены из Arbitrum в Ether, а затем распределив их по нескольким адресам для отмывания денег.
В смарт-tracпротокола находится функция предотвращения проскальзывания, которая помогает торговой платформе уменьшить проскальзывание. Код, называемый «get_sy_amount_in_for_exact_py_out», был добавлен в блокчейн в январе без необходимой проверки со стороны компании Asymptotic, занимающейся смарт-trac.
Даже после установки обновления в апреле, ужесточающего проверки развертывания, уязвимый код уже был внедрен в рабочую среду. Злоумышленник инициировал межсетевые переводы в 16:10 UTC 7 сентября через протокол межсетевых переводов Circle (CCTP) от Wormhole.
В общей сложности 2,59 миллиона долларов из средств Nemo были быстро выведены с помощью мгновенных займов из пулов, включая sUSDC, sbUSDT и sSUI.
Команда Asymptoticdentуязвимость в предварительном отчете, предоставленном Nemo 11 августа. Однако платформа признала, что не смогла вовремя устранить проблему, прежде чем злоумышленники обнаружили лазейку.
После публикации полного отчета об уязвимости, Nemo координирует свои действия с группами по обеспечению безопасности блокчейна и централизованными биржами (CEX) для заморозки украденных активов.
