Розробники протоколу Nemo назвали причину злому та крадіжки $2,4 млн – Bits Media

Команда протоколу Nemo оголосила причину виникнення вразливості, якою кілька днів тому скористався хакер та вивів криптоактиви на $2,4 млн.

У звіті команди Nemo йдеться про те, що експлойт виник через код з новими функціями, який почав розгортати неназваний розробник. Він не повідомив аудиторів MoveBit, що це нове доповнення, яке потрапило до старих перевірених виправлень. Використовуючи вразливість, зловмисник скористався функцією миттєвого кредитування – помилково вона залишалася загальнодоступною – і некоректною функцією ціноутворення. Ця функція виявилася здатною змінювати внутрішні дані смарт-контракту, хоча мала тільки зчитувати інформацію.

В результаті хакер скористався системними недоліками для запозичення та випуску токенів, і за допомогою цих маніпуляцій спустошив пул ліквідності Nemo. Пізніше зловмисник перевів вкрадені кошти до блокчейну Ефіріуму через Wormhole CCTP.

Команда Nemo повідомила, що випустила патч для усунення вразливостей, видаливши функцію миттєвої позики, та скоригувавши інструмент ціноутворення, щоб той не міг змінювати внутрішні дані. Розробники також усунули ще один баг, здатний впливати на обмінні курси. Зараз творці Nemo проводять екстрений аудит і планують залучити кілька компаній, що працюють у сфері безпеки, для перевірки оновленого коду. Щоб протокол міг знову працювати у штатному режимі, команда Nemo збирається скинути пошкоджені ончейн-дані та провести ребалансування пулів ліквідності.

Крім того, Nemo готує план компенсації постраждалим користувачам. Розробники Nemo запевнили, що для відстеження вкрадених коштів продовжують співпрацювати з біржами та правоохоронними органами. У майбутньому творці протоколу Nemo обіцяють запустити програму винагород за пошук помилок та вразливостей.

Нещодавно компанія LlamaRisk закликала творців криптопроектів та емітентів збільшити винагороду для білих хакерів, щоб пошук багів проходив більш ефективно.

Источник: bits.media