Časovnica in mehanika izkoriščanja ranljivosti
V ponedeljek je Nemo, protokol za optimizacijo donosnosti zgrajen na blockchainu Sui, doživel varnostni vdor, zaradi katerega je prišlo do izgube 2,4 milijona dolarjev v USDC. Napadalec je izkoristil ranljivost v Nemojevi integraciji mostu, kar mu je omogočilo nepooblaščeno umikanje rezerv stabilne valute. Sredstva so bila preklopljena z Arbitrum na Ethereum, preden so bila porazdeljena preko serije transakcij mešalnika.
Podjetje za varnost blockchaina Peckshield je z identifikacijo sumljivih obsežnih premikov USDC preko spremljanja na verigi odkrilo napad. Izkoriščanje je temeljilo na pomanjkljivosti v avtorizacijski logiki kontrakta žetona, ki je zaobšla preverjanja več podpisnikov. Po vdoru je skupna vrednost, zamrznjena v Nemu (TVL), padla na 1,53 milijona dolarjev s vrha nad 6 milijoni, kar je zmanjšalo zavarovanja uporabnikov in pozicije donosa.
Arhitektura protokola in ranljivosti
- Tokenizacija donosa: Nemo razdeli vložena sredstva na osnovne žetone (Principal Tokens - PT) in žetone donosa (Yield Tokens - YT) za sekundarno trgovanje.
- Integracija mostu: Zanašanje na most tretje osebe za čez-verižno likvidnost je uvedlo površino za napad.
- Avtorizacijska napaka: Nepravilna validacija podpisanih sporočil je dovolila zlonamerno ustvarjanje zahtevkov za umik.
Izkoriščanje poudarja vztrajajoča tveganja v DeFi, zlasti v novih blockchain ekosistemih. Nemojeva arhitekturna zasnova je ciljala na inovacije trgovanja z donosom, vendar je primanjkovalo ustreznih zaščitnih plasti. Analiza po vdoru kaže na neuspeh pri izvajanju temeljitih revizij kode in integraciji sistemov za spremljanje v realnem času, ki bi lahko zaznali nenavadne vzorce transakcij.
Odgovor in ublažitev
Razvojna ekipa Nema je začasno ustavila vse protokolarne operacije in zamrznila preostale sredstva na verigi. Pripravljeni so nujni predlogi upravljanja za nadgradnjo logike pametnih pogodb, uveljavitev strožjih dostopnih kontrol in namestitev neprekinjenega varnostnega spremljanja. Začenjajo tudi program whitehat, ki spodbuja zunanje revizorje k iskanju dodatnih ranljivosti.
Implikacije za industrijo
Medtem ko rast uporabe DeFi narašča, morajo novi protokoli dajati prednost varnostnim okvirjem za ohranitev zaupanja uporabnikov. Nemojev vdor se pridružuje naraščajočemu seznamu napadov na alternativnih blockchains, kar poudarja pomen čez-verižnega sodelovanja pri varnostnih standardih. Vpleteni pozivajo k skupnemu razkritju ranljivosti in najboljšim praksam v industriji za krepitev DeFi okolja.
Uporabnikom priporočamo spremljanje kanalov upravljanja protokola za posodobitve popravkov in previdnost pri vlaganju kapitala v nove ekosisteme. Nemojev načrt okrevanja in odziv skupnosti bosta služila kot študiji primerov upravljanja tveganj v naslednji generaciji DeFi arhitektur.
Komentarji (0)