Nemo Protocol révèle une cause d’exploitation de 2,6 millions de dollars
La plateforme DeFi Nemo Protocol, construite sur la blockchain Sui, a fait état d’un exploit de 2,6 millions de dollars au début du mois. L’équipe a déclaré que l’attaque s’est produite parce qu’un code non vérifié a été déployé sur le réseau principal. Un développeur a ajouté de nouvelles fonctionnalités après l’audit initial, mais ces modifications n’ont jamais été examinées par les entreprises de sécurité.
Dans un rapport publié le 11 septembre, Nemo a déclaré : « La cause fondamentale de la gouvernance était la dépendance du protocole à l’égard d’une adresse à signature unique pour les mises à niveau, ce qui n’a pas permis d’empêcher le déploiement d’un code qui n’avait pas fait l’objet d’un examen rigoureux. »
Comment la vulnérabilité est-elle apparue ?
Le rapport fait remonter le problème à janvier 2025. Après que la société de sécurité MoveBit a effectué son premier audit, un développeur a ajouté deux nouvelles fonctionnalités. Il s’agissait d’une fonction de prêt flash qui avait été rendue publique par erreur et d’une fonction d’interrogation qui permettait des changements d’état non autorisés.
Au lieu de déployer le code vérifié, le développeur a transmis la version modifiée au réseau principal en utilisant un portefeuille à signature unique. Nemo est passé à des mises à niveau à signatures multiples en avril, mais le contrat vulnérable était déjà actif.
En août, la société de sécurité Asymptotic a mis en garde contre un risque connexe de modification d’état. Toutefois, le problème n’a pas été résolu car l’équipe s’est concentrée sur le développement du produit Vault de Nemo.
Détails de l’exploit et réponse du protocole
- Le 7 septembre, des attaquants ont exploité les deux failles.
- Ils ont utilisé le prêt éclair et la requête erronée pour manipuler les prix et frapper des jetons SY supplémentaires.
- Les attaquants ont drainé des fonds du pool SY/PT.
- La plupart des fonds volés ont été transférés de Sui à Ethereum via le CCTP de Wormhole.
- Il reste environ 2,4 millions de dollars dans un seul portefeuille Ethereum.
- Les arbitragistes secondaires ont également profité de la manipulation du pool.
Nemo a interrompu ses principales fonctions après avoir détecté des pics de rendement inhabituels. L’équipe a corrigé les vulnérabilités, supprimé la fonction de prêt flash et verrouillé les méthodes d’interrogation en lecture seule. Un audit d’urgence avec Asymptotic est en cours.
« Malgré de multiples audits et mesures de protection, nous reconnaissons que nous nous sommes trop reposés sur les assurances passées », a déclaré M. Nemo. Le protocole coopère avec des sociétés de sécurité, des bourses et les forces de l’ordre pour retrouver les fonds volés. Un plan d’indemnisation des utilisateurs, comprenant une éventuelle restructuration de la dette, est en cours de préparation.
Nemo a qualifié l’incident de « leçon douloureuse mais importante ». L’équipe s’est engagée à améliorer les procédures de mise à jour avec des protections multi-signatures, des audits plus stricts et un programme élargi de primes aux bugs. Elle a souligné que la transparence et la sécurité étaient essentielles pour rétablir la confiance tout en se préparant à relancer les opérations.
