Nemo Protokolü, 2.59 Milyon Dolarlık Kayba Neden Olan Açığın Ardından Rapor Yayınladı

Nemo protokolü, 7 Eylül'de yaşadığı bir açığın ardından bir rapor yayınlayarak olayın detaylarını paylaştı. Rapor, protokolün 2.59 milyon dolarlık bir kayıp yaşamasına neden olan açığın, bir geliştiricinin denetlenmemiş kodu tarafından tetiklendiğini ortaya koydu.

Sui (SUI) tabanlı DeFi platformu olan Nemo protokolü, Total Value Locked (TVL) değerinin 6 milyon doların üzerinde bir seviyeden yaklaşık 1.5 milyon dolara düşmesine neden olan bir saldırı yaşadı. Saldırıda yaklaşık 2.4 milyon dolar çalındı ve daha sonra Ethereum'a köprülenerek aktarıldı. Protokol, olayın ardından yayınladığı raporda, açığın nedenlerini, alınan dersleri ve sonraki adımları açıkladı.

Rapora göre, adı açıklanmayan bir geliştirici, denetim onayı almadan yeni özellikler ekledi ve bunları uygulamaya koydu. Geliştirici, MoveBit denetçilerini bu yeni eklemeler hakkında bilgilendirmedi ve bu durum, denetlenmiş düzeltmelerle karışmasına yol açtı. Saldırgan, bu zayıflıktan iki ana unsurdan yararlandı. Birincisi, özel olması gerekirken yanlışlıkla herkese açık bırakılan bir flash loan (hızlı kredi) fonksiyonu. İkincisi, yalnızca veri okuması gerekirken dahili sözleşme verilerini değiştirebilen hatalı bir fiyatlandırma fonksiyonu. Bu iki sistem hatası, hacker'ın Nemo'nun likidite havuzundan varlıkları boşaltmasına olanak sağladı. Çalınan fonlar daha sonra Wormhole CCTP aracılığıyla Ethereum'a (ETH) köprülendi ve 2.4 milyon dolar şu anda hacker'ın aktif cüzdanında bulunuyor.

Olayın ardından Nemo ekibi, zafiyetleri gidermek için adımlar attı. Hızlı kredi fonksiyonu kaldırıldı ve fiyatlandırma aracı, dahili verileri değiştiremeyecek şekilde düzeltildi. Ekip ayrıca, döviz kurlarını etkileyebilecek başka bir ilgili hatayı da düzeltti. Acil durum denetimleri devam ediyor ve protokol, güncellenmiş kodu bağımsız olarak incelemesi için çok sayıda güvenlik firmasıyla anlaşma yapmayı taahhüt etti. Ayrıca Nemo protokolü, bozulmuş zincir üzerindeki verileri sıfırlamayı ve likidite havuzlarını yeniden dengelemeyi planlıyor. Bu sayede protokolün normal şekilde çalışması sağlanacak.

Nemo, etkilenen kullanıcılar için bir tazminat planı hazırlıyor. Ekip ayrıca, çalınan varlıkları takip etmek ve hacker'ın fonları tasfiye etmesini engellemek için borsalar, güvenlik firmaları ve kolluk kuvvetleriyle işbirliği yapıyor. Nemo, güvenlik konusunda daha katı kontroller, daha kapsamlı denetimler, daha geniş hata ödül programları ve şeffaflığa daha fazla odaklanma gibi uzun vadeli değişiklikler yapmayı da planlıyor.

Sonuç olarak, Nemo ekibi, güveni yeniden tesis etmek ve direnci artırmak için daha güçlü güvenlik uygulamaları, daha iyi hesap verebilirlik ve kullanıcılarla daha yakın iletişim kurmaya kendini adamıştır.