Sui Tabanlı Nemo Protokolü, Denetlenmemiş Kodu Nedeniyle 2.59 Milyon Dolar Kaybetti

Sui tabanlı getiri ticareti protokolü Nemo, denetlenmemiş kodun devreye alınmasıyla ilgili bir açık nedeniyle yaklaşık 2,59 milyon dolar kaybettiğini duyurdu. Projenin açıklamasına göre, 7 Eylül'deki hack olayının ardından yapılan incelemede, kayba neden olan açığın, kayma oranını azaltmayı amaçlayan bir fonksiyonda olduğu ortaya çıktı. Bu fonksiyon, 'get_sy_amount_in_for_exact_py_out' adı altında olup, akıllı sözleşme denetçisi Asymptotic tarafından denetlenmeden devreye alınmıştı.

Asymptotic ekibi, ilk raporunda bu sorunu tespit etmesine rağmen, Nemo ekibi, güvenlik endişesini zamanında ele almadıklarını kabul etti. Yeni kodun devreye alınması yalnızca tek bir adresten gelen imzayı gerektiriyordu, bu da geliştiricinin denetlenmemiş kodu değişiklikleri açıklamadan devreye almasına olanak sağladı. Ayrıca, denetimde sağlanan onay karmasını da kullanmadılar, bu da prosedürü bozdu.

Bu, kolayca önlenebilecek bir hack olayının ilk örneği değil. Daha önce NFT ticaret platformu SuperRare, standart test uygulamalarıyla kolayca önlenebilecek temel bir akıllı sözleşme hatası nedeniyle Temmuz ayında 730.000 dolarlık bir kayıp yaşamıştı.

Nemo ekibi, daha fazla zararı önlemek için protokolün temel işlevlerini durdurduğunu belirtti. Ek olarak, merkezi borsalarda varlıkların dondurulmasına yardımcı olmak için çeşitli güvenlik ekipleriyle işbirliği yapıyorlar. Şu anda bir yama geliştirildi ve Asymptotic yeni kodu denetliyor. Proje, flash kredi işlevini kaldırdığını, savunmasız kodu düzelttiğini ve etkilenen değerleri geri yüklemek için manuel sıfırlama özelliği eklediğini söyledi. Ayrıca, borç yapılandırması da dahil olmak üzere kullanıcılar için bir tazminat planı tasarlıyorlar.

Nemo, kullanıcılarından özür diledi ve 'güvenlik ve risk yönetimi sürekli tetikte olmayı gerektirir' ifadesini kullandı. Ekip ayrıca savunmalarını iyileştirmeyi ve daha sıkı protokol kontrolü uygulamayı vaat etti.