ציר זמן ומכניקת הפריצה
ביום שני, Nemo, פרוטוקול אופטימיזציית תשואות שנבנה על גבי בלוקצ'יין Sui, חווה פרצת אבטחה שגרמה לאובדן של 2.4 מיליון דולר ב-USDC. התוקף ניצל פגיעות באינטגרציית הגשר של Nemo, שאפשרה משיכת יתר של עתודות הסטייבלקוין ללא הרשאה. הכספים הועברו באמצעות גשר מ-Arbitrum לאת'ריום לפני שהופצו דרך סדרה של עסקאות מיקסר.
חברת האבטחה לבלוקצ'יין Peckshield זיהתה תנועות חשודות והיקפיות של USDC דרך ניטור ברשת. הפריצה ניצלה פגם בלוגיקת ההרשאות של חוזה הטוקן, שעבר את בדיקות החתימה הרב-משתפת. בעקבות הפריצה, הסכום הכולל ה-טו-וי-אל (TVL) של Nemo ירד ל-1.53 מיליון דולר מפסגה של מעל 6 מיליון דולר, מה שהפחית את ערך הבטוחות והתשואות של המשתמשים.
ארכיטקטורת הפרוטוקול ופגיעויות
- טוקניזציה של תשואות: Nemo מפצל נכסים מונחים לטוקני עיקר (PT) וטוקני תשואה (YT) למסחר משני.
- אינטגרציית גשר: התלות בגשר צד שלישי לנזילות בין-שרשרת הגדילה את העורף למתקפות.
- פגם בהרשאה: אימות לקוי של הודעות חתומות אפשר יצירת בקשות משיכה זדוניות.
הפריצה מדגישה סיכונים מתמשכים ב-DeFi, במיוחד במערכות בלוקצ'יין חדשות. עיצוב הארכיטקטורה של Nemo שאף לחדש במסחר תשואות אך לא כלל שכבות הגנה מספקות. ניתוח לאחר האירוע מצביע על כישלון בביצוע ביקורות קוד קפדניות ושילוב מערכות ניטור בזמן אמת המסוגלות לזהות דפוסי עסקה חריגים.
תגובה והפחתת הנזק
צוות הפיתוח של Nemo הפסק את כל פעולות הפרוטוקול וקפא את הנכסים הנותרים ברשת. הצעות ממשל חירומיות נמצאות בתהליכי יישום לשדרוג לוגיקת החוזים החכמים, לאכוף בקרות גישה מחמירות ולפרוס מערכות ניטור אבטחה רציפות. תוכנית whitehat הושקה לעידוד ביקורות חיצוניות לאיתור פגיעויות נוספות.
השלכות בתעשייה
בעוד שאימוץ ה-DeFi גדל, פרוטוקולים חדשים חייבים לתת עדיפות למסגרות אבטחה לשם שמירת אמון המשתמשים. הפריצה ל-Nemo מצטרפת לרשימת תקיפות הולכת וגדלה בבלוקצ'יינים חלופיים, ומדגישה את חשיבות שיתוף הפעולה הרב-שרשרתי בסטנדרטים לאבטחה. בעלי העניין קוראים לחשיפת פגיעויות משותפת ולקיום שיטות עבודה מומלצות בתעשייה לחיזוק נוף ה-DeFi.
מומלץ למשתמשים לעקוב אחר ערוצי הממשל של הפרוטוקול לעדכוני תיקון ולהפעיל זהירות בעת השקעה באקוסיסטמים חדשים. תוכנית ההתאוששות של Nemo ותגובת הקהילה יושמשו כמקרי מבחן לניהול סיכונים בארכיטקטורות ה-DeFi של הדור הבא.
תגובות (0)