近年来,区块链领域不断涌现的安全事件警示着行业必须高度重视代码审计和风险管理。2025年9月7日,基于Sui区块链的去中心化收益交易平台Nemo遭遇了重大的安全攻击,损失高达2.59万美元。这场攻击虽然致命,但并非毫无预警,安全审计机构Asymptotic在初步的安全审查报告中曾明确指出代码中的重大漏洞。然而,Nemo团队未能及时响应这些安全隐患,最终导致了难以挽回的损失。 Nemo的这次安全危机其实源于一段未经严格审计的代码,该代码涉及协议中一个用于降低滑点的关键函数"get_sy_amount_in_for_exact_py_out",此功能的设计本应减少交易波动风险,但由于设计缺陷,攻击者得以通过操控该函数修改协议状态,实现了非法资金的转移。漏洞代码于今年一月被推送至链上,但针对这一版本的安全升级措施要到四月才被实施,这之间长达数月的空档使得漏洞成为"隐患"。
而方方面面的安全疏漏则促成了这场灾难应运而生。 Nemo项目的更大问题在于部署机制缺陷:新代码的上链只需单一地址签名授权,缺乏多重签名机制监督,导致核心开发者能够在未充分披露变更内容的情况下轻松部署非审计代码。此外,开发者违背了审计方所提交的使用确认哈希的要求,直接破坏了安全流程。这样的流程漏洞,暴露出团队在安全管理上的严重松懈。 详细回顾Asymptotic的安全审计报告可以发现,早在8月11日该机构便警告了Nemo团队关于该漏洞的存在。然而,Nemo团队因忙于处理其他技术问题、未能优先处理这一安全隐患,使得漏洞得以继续存在并在本月初引发攻击。
攻击得手后,Nemo紧急暂停了协议核心功能,避免更多资金丢失,并积极联络多家安全团队协助冻结攻击者相关地址,试图阻止攻击者将赃款进一步流转至中心化交易所。 作为补救措施,Nemo迅速开发了补丁修复安全漏洞,重新审计被纳入修改范畴的代码,同时移除了被安全专家认为具有潜在风险的闪电贷功能。此次升级还引入了手动重置机制,用以恢复受影响的协议数值,保证协议恢复到安全状态。此外,Nemo团队正拟定用户赔偿方案,计划通过代币经济模型设计债务结构,为受损用户提供合理的补偿。 此次事件再度凸显出区块链项目在安全合作与流程执行上的不足。很多攻击并非技术上无法防范,而是由于团队未能充分采纳审计建议、缺乏强有力的访问控制和代码部署流程管理,导致风险积累成隐患。
NFT交易平台SuperRare不久前发生的73万美元智能合约漏洞案同样印证了这一趋势,安全基础设施的薄弱让黑客有机可乘。 对Nemo而言,这次安全事故是痛苦但宝贵的教训。团队公开致歉,并警醒整个行业"安全和风险管理需要持续不懈的警觉性",承诺今后将强化安全防御措施,完善多签名及代码审核机制,以防范类似安全失误。 展望未来,区块链项目若想赢得用户信任,必须建立严格的审计体系并严格执行,尤其是在代码上链使用多重签名流程以减少人为操作风险。只有这样,才能有效避免因管理漏洞引发的重大安全事件。 此外,行业也应推动更加规范的安全审计标准,提高透明度,鼓励项目团队及时响应审计报告中的风险提示,将安全风险降至最低。
Nemo被攻击事件再次告诫我们,开放创新与安全治理必须并重,才能推动区块链生态健康可持续发展。 总结来看,Nemo协议因忽视审计机构的安全警告而遭受重创,其漏洞发生的本质反映了行业对安全流程执行的轻视和流程管控不足。该事件令相关项目警醒持续提升安全意识,完善代码管理和审计体系,建立起多方位的安全防线。只有紧紧抓住安全这一根基,区块链及DeFi生态方能抵御未来更复杂、更隐蔽的攻击风险,迈向长远繁荣。 。
