
SUI- आधारित यील्ड ट्रेडिंग प्रोटोकॉल NEMO परियोजना के अनुसार, गैर-ऑडिटेड कोड द्वारा तैनात किए गए एक ज्ञात भेद्यता के कारण लगभग 2.59 मिलियन डॉलर खो दिया।
निमो के पोस्टमार्टम के अनुसार विश्लेषण सेप्ट 7 हैक में से, फिसलन को कम करने के लिए एक फ़ंक्शन में एक दोष ने हमलावर को प्रोटोकॉल की स्थिति को बदलने की अनुमति दी। यह फ़ंक्शन, जिसका नाम “get_sy_amount_in_for_exact_py_out,” के बिना onchain को धक्का दिया गया था स्मार्ट कॉन्ट्रैक्ट ऑडिटर द्वारा ऑडिट किया गया।
इसके अलावा, एसिम्प्टोटिक की टीम ने एक प्रारंभिक रिपोर्ट में इस मुद्दे की पहचान की। फिर भी, NEMO टीम ने स्वीकार किया कि “टीम ने समय पर इस सुरक्षा चिंता को पर्याप्त रूप से संबोधित नहीं किया है।”
नए कोड को तैनात करने से केवल एक ही पते से एक हस्ताक्षर की आवश्यकता होती है, जिससे डेवलपर को परिवर्तनों का खुलासा किए बिना अनियंत्रित कोड onchain को धक्का देने की अनुमति मिलती है। इसके अलावा, उन्होंने प्रक्रिया को तोड़ते हुए, तैनाती के लिए ऑडिट में प्रदान की गई पुष्टि हैश का उपयोग नहीं किया।
यह पहली बार नहीं है किराये का पता चला था कि आसानी से रोका जा सकता है। रिपोर्ट एनएफटी ट्रेडिंग प्लेटफॉर्म का अनुसरण करती है जुलाई के अंत में $ 730,000 का शोषण करने वाले सुपररेयर एक बुनियादी स्मार्ट अनुबंध बग के कारण जो विशेषज्ञों का कहना है कि आसानी से मानक परीक्षण प्रथाओं के साथ रोका जा सकता था।
संबंधित: Bubblemaps Myx Airdrop पर क्रिप्टो इतिहास में सबसे बड़ा सिबिल हमला करता है
जनवरी की शुरुआत में कमजोर कोड को Onchain को धकेल दिया गया था। अपग्रेड प्रक्रिया, जो संभवतः अनौपचारिक कोड को Onchain को तैनात होने से रोकती थी, को अप्रैल में लागू किया गया था।
अपग्रेड के बावजूद, भेद्यता ने पहले से ही उत्पादन वातावरण में अपना रास्ता बना लिया था। Asymptotic ने 11 अगस्त को NEMO को भेद्यता की चेतावनी दी, लेकिन परियोजना ने कहा कि यह अन्य मुद्दों पर केंद्रित था और शोषण से पहले इसे संबोधित करने में विफल रहा।
संबंधित: असफल एनपीएम शोषण क्रिप्टो सुरक्षा के लिए खतरे पर प्रकाश डालते हैं: निष्पादन
विश्लेषण के अनुसार, NEMO के प्रोटोकॉल कोर कार्यों को अब और नुकसान को रोकने के लिए रोका गया है। टीम कई सुरक्षा टीमों के साथ सहयोग कर रही है और केंद्रीकृत एक्सचेंजों पर फ्रीजिंग एसेट्स में सहायता के लिए सभी प्रासंगिक पते प्रदान कर रही है।
एक पैच अब विकसित किया गया है, और एसिम्प्टोटिक नए कोड का ऑडिट कर रहा है। परियोजना ने कहा कि उसने अपने फ्लैश लोन फ़ंक्शन को हटा दिया, कमजोर कोड को ठीक किया और प्रभावित मूल्यों को पुनर्स्थापित करने के लिए एक मैनुअल-रेजेट सुविधा जोड़ी। NEMO उपयोगकर्ताओं के लिए एक मुआवजा योजना भी डिजाइन कर रहा है, जिसमें टोकनोमिक्स स्तर पर ऋण संरचना शामिल है।
“कोर टीम एक विस्तृत उपयोगकर्ता मुआवजा योजना तैयार कर रही है, जिसमें टोकनोमिक्स स्तर पर एक ऋण-संरचना डिजाइन भी शामिल है।”
एनईएमओ ने अपने उपयोगकर्ताओं से माफी मांगी और दावा किया कि “सुरक्षा और जोखिम प्रबंधन निरंतर सतर्कता की मांग करते हैं।” टीम ने अपने बचाव में सुधार करने और सख्त प्रोटोकॉल नियंत्रण लागू करने का भी वादा किया।
पत्रिका: उत्तर कोरिया क्रिप्टो हैकर्स टैप चैट, मलेशिया रोड मनी सिपहोन: एशिया एक्सप्रेस