Dòng Thời Gian và Cơ Chế Khai Thác
Vào thứ Hai, Nemo, một giao thức tối ưu hóa lợi suất được xây dựng trên blockchain Sui, đã trải qua một vi phạm an ninh khiến mất 2,4 triệu đô la USDC. Kẻ tấn công đã lợi dụng một lỗ hổng trong tích hợp cầu nối của Nemo, cho phép rút tiền ổn định không được phép. Quỹ đã được chuyển từ Arbitrum sang Ethereum trước khi phân phối qua một loạt các giao dịch trộn.
Công ty bảo mật blockchain Peckshield đã phát hiện các chuyển động USDC lớn đáng ngờ thông qua giám sát trên chuỗi. Lỗ hổng khai thác là do logic ủy quyền trong hợp đồng token bị lỗi, bỏ qua các kiểm tra đa chữ ký. Sau sự cố, tổng giá trị khóa (TVL) của Nemo giảm xuống còn 1,53 triệu đô la từ mức đỉnh hơn 6 triệu đô la, làm giảm tài sản thế chấp và vị thế lợi suất của người dùng.
Kết Cấu Giao Thức và Lỗ Hổng
- Token hóa lợi suất: Nemo chia tài sản đặt cọc thành Token Chính (PT) và Token Lợi Suất (YT) để giao dịch thứ cấp.
- Tích hợp cầu nối: Phụ thuộc vào cầu bên thứ ba để thanh khoản đa chuỗi đã tạo ra bề mặt tấn công.
- Lỗi ủy quyền: Xác thực tin nhắn ký không đúng cách cho phép tạo yêu cầu rút tiền độc hại.
Khai thác này nhấn mạnh các rủi ro tồn tại trong DeFi, đặc biệt là trong các hệ sinh thái blockchain mới. Thiết kế kiến trúc của Nemo nhằm đổi mới giao dịch lợi suất nhưng thiếu các lớp bảo vệ đủ mạnh. Phân tích hậu sự cố cho thấy thiếu kiểm tra mã nghiêm ngặt và tích hợp hệ thống giám sát thời gian thực để phát hiện các mẫu giao dịch bất thường.
Phản Ứng và Biện Pháp Giảm Thiểu
Đội ngũ phát triển Nemo đã tạm dừng tất cả các hoạt động giao thức và đóng băng tài sản còn lại trên chuỗi. Các đề xuất quản trị khẩn cấp đang được tiến hành để nâng cấp logic hợp đồng thông minh, tăng cường kiểm soát truy cập và triển khai giám sát an ninh liên tục. Một chương trình whitehat đang được khởi động nhằm khuyến khích các kiểm toán viên bên ngoài tìm kiếm các lỗ hổng bổ sung.
Ý Nghĩa Ngành
Trong khi việc áp dụng DeFi ngày càng tăng, các giao thức mới nổi phải ưu tiên các khung bảo mật để duy trì niềm tin người dùng. Vụ khai thác Nemo làm tăng thêm danh sách các cuộc tấn công trên các blockchain thay thế, nhấn mạnh tầm quan trọng của hợp tác đa chuỗi về tiêu chuẩn bảo mật. Các bên liên quan kêu gọi công bố lỗ hổng chung và thực hành tốt toàn ngành để củng cố lĩnh vực DeFi.
Người dùng được khuyên theo dõi các kênh quản trị giao thức để cập nhật khắc phục và thận trọng khi đầu tư vốn vào các hệ sinh thái mới. Kế hoạch phục hồi và phản ứng cộng đồng của Nemo sẽ là trường hợp nghiên cứu cho quản lý rủi ro trong kiến trúc DeFi thế hệ tiếp theo.
Bình luận (0)