Nemo Protocol 260 万美元被盗事件：内部开发者违规部署未审计代码是罪魁祸首

Nemo Protocol 近日发布详细事后分析报告，将 9 月 7 日发生的 259 万美元资产被盗事件归咎于一名内部开发者。该开发者秘密部署了包含严重漏洞的未经审计代码，绕过了 MoveBit 审计流程，并使用了未经授权的智能合约版本，最终导致了此次攻击。

事件的根本原因可追溯至 2025 年 1 月，该开发者在向 MoveBit 提交代码时，未能充分披露新添加的功能，并将未经审查的代码混入其中。审计方基于不完整信息出具了报告。随后，该开发者使用单签名地址部署了未经审计的合约版本，而非审计确认的哈希，从而规避了内部审查。

攻击者利用了两个关键漏洞：一个被错误公开为公共调用的闪电贷功能，以及一个允许未经授权修改合约状态的查询功能。攻击者通过 Wormhole CCTP 将被盗资金桥接至以太坊，其中约 240 万美元仍留在攻击者的地址中。

该开发者在 2024 年底曾尝试将闪电贷功能实现为内部非可调用函数，但后来错误地将其公开。用于报价的功能也存在实现错误，将本应只读的函数编写成了具有写入能力，这构成了主要的攻击向量。

尽管 Asymptotic 团队在 8 月份识别出了关键漏洞并发出警告，但该开发者低估了问题的严重性，并未实施必要的修复。事件发生后，Nemo Protocol 正在实施更严格的监控、控制措施、额外的审计检查点以及扩大赏金计划，以加强安全并挽回损失。

查看消息来源