El protocolo de trading de rendimiento basado en Sui Nemo perdió alrededor de 2,59 millones de dólares debido a una vulnerabilidad conocida introducida por la implementación de código no auditado, según el proyecto.
Según el análisis post-mortem de Nemo del hackeo del 7 de septiembre, un fallo en una función destinada a reducir el slippage permitió al atacante cambiar el estado del protocolo. Esta función, llamada "get_sy_amount_in_for_exact_py_out", fue enviada on-chain sin ser auditada por el auditor de contratos inteligentes Asymptotic.
Además, el equipo de Asymptotic identificó el problema en un informe preliminar. Aun así, el equipo de Nemo admite que su "equipo no abordó adecuadamente esta preocupación de seguridad de manera oportuna".
La implementación de nuevo código solo requería una firma de una única dirección, lo que permitió al desarrollador enviar código no auditado on-chain sin revelar los cambios. Además, no utilizó el hash de confirmación proporcionado en la auditoría para la implementación, rompiendo el procedimiento.
Esta no es la primera vez que se revela que un hackeo fue fácilmente prevenible. El informe llega después de que la plataforma de trading de NFT SuperRare sufriera un exploit de 730.000 dólares a finales de julio debido a un error básico en el contrato inteligente que, según los expertos, podría haberse prevenido fácilmente con prácticas de prueba estándar.
Los procedimientos de seguridad cambiaron demasiado tarde
El código vulnerable fue enviado on-chain a principios de enero. El procedimiento de actualización, que probablemente habría evitado que el código no auditado fuera implementado on-chain, se implementó en abril.
A pesar de la actualización, la vulnerabilidad ya había llegado al entorno de producción. Asymptotic advirtió a Nemo de la vulnerabilidad el 11 de agosto, pero el proyecto dijo que estaba enfocado en otros problemas y no logró abordarla antes del exploit.
Nemo pausa el protocolo, prepara parche
Según el análisis, las funciones centrales del protocolo de Nemo ahora están pausadas para evitar más pérdidas. El equipo está colaborando con múltiples equipos de seguridad y proporcionando todas las direcciones relevantes para ayudar a congelar activos en exchanges de criptomonedas centralizados.
Ahora se ha desarrollado un parche, y Asymptotic está auditando el nuevo código. El proyecto dijo que eliminó su función de flash loan, arregló el código vulnerable y añadió una función de restablecimiento manual para restaurar los valores afectados. Nemo también está diseñando un plan de compensación para los usuarios, incluyendo una estructuración de deuda a nivel de tokenomics.
“El equipo principal está formulando un plan detallado de compensación para los usuarios, incluyendo un diseño de estructuración de deuda a nivel de tokenomics.“
Nemo se disculpó con sus usuarios y afirma haber aprendido que “la seguridad y la gestión de riesgos exigen una vigilancia constante.” El equipo también prometió mejorar sus defensas y aplicar un control de protocolo más estricto.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.