2025年9月7日,去中心化金融 (DeFi) 收益平台 Nemo Protocol 遭遇攻击,损失价值 260 万美元。原因是一名开发人员绕过内部审核流程,部署了未经审查的代码。该平台的后续报告详细说明,此次攻击源于两个关键漏洞:一个闪电贷函数被错误地公开,另一个查询函数可能在未经授权的情况下修改合约状态。该漏洞允许攻击者从市场池中窃取稳定币,并将被盗资金桥接到
以太坊 通过 Wormhole 的 CCTP。安全公司 PeckShield 首先发现了这起事件,并指出黑客的地址中目前有 240 万美元。该漏洞的根源可以追溯到2025年1月,当时一名开发人员向MoveBit审计人员提交了包含未经审计功能的代码。该开发人员未能突出新增功能,同时将之前已审计的修复与未经审计的功能混合在一起,导致MoveBit基于不完整的信息发布了最终审计报告。随后,该开发人员使用单签名地址(而非已审计确认的哈希值)部署了合约版本0xcf34,绕过了内部审查协议。Asymptotic团队此前曾在8月份发现过严重漏洞,但该开发人员忽视了漏洞的严重性,尽管有可用的支持,却未能实施必要的修复。
攻击于 9 月 7 日 UTC 时间 16:00 开始,黑客利用了闪电贷功能和 `get_sy_amount_in_for_exact_py_out` 查询漏洞。三十分钟后,Nemo 团队检测到异常,YT 收益率显示超过 30 倍。此次事件凸显了 DeFi 智能合约中未经审查的代码所带来的风险,尤其是在未遵循内部治理流程的情况下。开发人员于 2024 年底秘密部署代码(旨在通过闪电贷功能增强可组合性),严重低估了安全风险,并错误地使用了公共方法而不是内部函数,从而构成了主要的攻击媒介。
被入侵的代码还包含一些本应只读但却被赋予写入权限的函数,进一步暴露了平台的可操控性。在收到 MoveBit 的初始审计报告后,开发人员将未经审计的功能集成到最终代码库中。混合版本既包含已修复的问题,也包含未经审计的新功能,但并未明确标明功能范围。这种缺乏透明度和对安全最佳实践的遵循,为漏洞利用的成功创造了必要的条件。
作为回应,Nemo Protocol 已暂停所有智能合约活动,并正在进行持续调查。该平台尚未披露根本原因,但已确认金库资产仍然安全。此次漏洞利用恰逢 Nemo App 的计划维护期,平台表示,一旦调查进展顺利,将分享更多详细信息。同时,此次事件凸显了 DeFi 平台普遍存在的漏洞,这些平台依赖第三方审计和内部治理,缺乏足够的监管。随着加密货币行业的不断发展,此类事件凸显了制定更严格的代码验证协议和多重签名部署标准,以防止未来再次发生类似漏洞的必要性。
Nemo 协议漏洞是 2025 年一系列备受瞩目的 DeFi 漏洞中的最新一起,此前,SwissBorg 遭受了 4100 万美元的黑客攻击,Kinto 也因 155 万美元的漏洞而关闭。这些事件共同凸显了针对 DeFi 生态系统的网络犯罪分子日益精明老练的现状。随着 DeFi 平台功能扩展,涵盖复杂的金融工具和跨链集成,智能合约中存在未被发现的漏洞的风险也在上升。此次事件警示其他 DeFi 协议,在部署新功能之前,应优先进行严格的代码审计,并执行多层安全检查。