审计方曾警示漏洞，团队坦承未防260万美元Nemo被盗事件_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

审计方曾警示漏洞，团队坦承未防260万美元Nemo被盗事件

2025-09-11 19:15:35

基于Sui的收益交易协议Nemo因未审计代码漏洞损失约259万美元

根据项目方披露的9月7日攻击事件分析报告，攻击者利用一个旨在减少滑点的功能漏洞改变了协议状态。这个名为"get_sy_amount_in_for_exact_py_out"的功能在上链前未经智能合约审计机构Asymptotic审查。

审计疏漏与响应迟滞

Asymptotic团队曾在初步报告中指出该问题，但Nemo团队承认"未能及时妥善处理这一安全隐患"。更严重的是，新代码部署仅需单一地址签名，导致开发者可在不披露变更内容的情况下直接上链未审计代码，且未使用审计报告中提供的确认哈希值，完全违背了标准流程。

这并非首起本可轻易避免的安全事件。今年7月下旬，NFT交易平台SuperRare就曾因基础智能合约漏洞损失73万美元，专家指出采用标准测试流程即可防范此类风险。

安全机制升级滞后

存在漏洞的代码于1月初上链，而能阻止未审计代码部署的升级流程直到4月才实施。尽管完成升级，漏洞早已进入生产环境。Asymptotic虽在8月11日发出警告，但项目方表示当时正处理其他问题，未能在攻击发生前修补漏洞。

紧急响应与补偿方案

目前Nemo已暂停协议核心功能以防止损失扩大，并与多家安全团队合作，提供所有相关地址以协助中心化交易所冻结资产。项目方已开发补丁程序，Asymptotic正在审计新代码。

更新内容包括：移除闪电贷功能、修复漏洞代码、添加手动重置功能以恢复受影响数值。Nemo同时正在设计用户补偿方案，包括在代币经济学层面进行债务重组设计。项目方向用户致歉，并表示已深刻认识到"安全和风险管理需要持续警惕"，承诺将加强防御措施并实施更严格的协议控制。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文