2025年9月7日,基于Sui网络的收益交易协议Nemo遭受一次重要安全攻击,导致约259万美元的资产被盗。这次事件并非完全出乎意料,审计团队Asymptotic早在攻击发生前的报告中已经指出该协议存在潜在的安全隐患。然而,Nemo开发团队未能及时采取有效措施,导致漏洞最终被攻击者利用。此次Nemo安全事故引发了加密行业内对代码审计流程、多重签名管理和安全防范机制的广泛关注。事件揭示了数字资产协议在技术安全和团队风险管理方面存在的显著挑战。 Nemo项目团队在事故发生后的事后分析报告中透露,导致此次攻击的核心漏洞出自未经审计的一段关键代码。
该代码涉及一项名为"get_sy_amount_in_for_exact_py_out"的函数,该函数本意是为了降低交易过程中的滑点风险,但由于缺少专业审计和安全核查,反而为攻击者提供了更改协议状态的通路。审计机构Asymptotic早在8月11日就向Nemo团队预警了该漏洞的风险,但遗憾的是该预警未能被项目方及时响应。 此次漏洞的发生与Nemo项目内部开发及安全流程的缺陷密切相关。首先,此段漏洞代码是在2025年1月被直接推送到链上的,且未遵循严格的多重签名部署流程。该协议允许仅凭单地址签名即可上线新代码的机制,削弱了安全把控,开发者在部署时没有采用审计报告中提供的确认哈希,导致审核流程被绕过。直到4月份,Nemo团队才强制实施升级代码的多签认证制度,但此时漏洞代码已经在生产环境内运行近数月,成为攻击者利用的目标。
Nemo团队的管理漏洞是此次损失的根本原因。团队表示由于当时正忙于解决其它系统问题,对Asymptotic的警告置若罔闻,忽视了潜在风险,疏于对代码安全的持续关注。正如许多业内人士所指出,加密项目必须不仅依赖审计报告,更需贯彻严格的代码发布审核机制和持续安全监测,避免单点故障带来的巨大风险。投资者和用户对协议安全性的期待必须被严格执行,任何漏洞一旦被发现,必须立即采取补救措施。 这不是加密行业首次因安全措施不到位而导致惨重损失。就在几个月前,NFT交易平台SuperRare因一个基础的智能合约漏洞丢失了73万美元。
安全专家指出,此类事件的根本原因往往是项目缺少基本的测试和代码审查流程,这与Nemo事件颇具相似之处。区块链项目在快速发展的同时,急需建立完善的开发规范和安全管控体系,防范因疏忽而带来的严重财产损失。 为防止进一步损失,Nemo协议核心功能现已暂停,项目团队正与多家安全机构合作,希望冻结涉及攻击的相关资产,同时制定补丁修复系统漏洞。根据最新进展,修复方案已完成,包含移除高风险的闪电贷功能、修正漏洞代码和新增手动重置功能以恢复异常数据。此外,Asymptotic正在对修补后的代码进行全面审计,以确保协议安全性达到更高标准。 用户赔偿方案也在制定中,Nemo团队计划通过调整代币经济模型和债务重组等多种手段来补偿受损用户。
这种尝试显示出项目方在应对危机时的积极态度,尽管损失无法完全避免,但通过合理设计补偿机制,可以一定程度上恢复用户的信心。 这场攻击事件给整个加密行业敲响了警钟。区块链技术和DeFi协议在为用户提供便利和收益的同时,也伴随着复杂的安全风险。缺乏有效监管与标准化流程,使得漏洞和攻击的隐患始终存在。审计团队的警告需被充分尊重和采纳,项目团队应强化内部安全意识,加强代码审查流程,同时引入多签名机制等安全措施,避免单点失误造成全面损失。 未来,加密项目在追求技术创新的同时,更应重视风险管理和安全保障。
相关机构也应推动行业确立更严密的安全准则和审计标准,确保所有更新和代码变更都经过充分验证。用户选择参与任何DeFi协议,都应了解其安全历史与防护措施,保持警惕,避免成为攻击受害者。 总的来看,Nemo协议259万美元资产被盗事件体现了代码审计与多重签名管理缺陷带来的巨大威胁,也显示出项目方对应急响应和安全管理的不足。此次教训值得所有数字资产项目深刻反思,唯有构建更为严密和透明的安全生态,才能推动区块链行业实现健康长远的发展。 。
