开发人员绕过 Nemo 协议导致 260 万美元智能合约崩溃

币圈网报道：

2025年9月7日，去中心化金融 (DeFi) 收益平台 Nemo Protocol 遭遇攻击，损失价值 260 万美元。原因是一名开发人员绕过内部审核流程，部署了未经审查的代码。该平台的后续报告详细说明，此次攻击源于两个关键漏洞：一个闪电贷函数被错误地公开，另一个查询函数可能在未经授权的情况下修改合约状态。该漏洞允许攻击者从市场池中窃取稳定币，并将被盗资金桥接到oFf币圈网 - 区块链数字货币实时行情平台

以太坊 通过 Wormhole 的 CCTP。安全公司 PeckShield 首先发现了这起事件，并指出黑客的地址中目前有 240 万美元。

该漏洞的根源可以追溯到2025年1月，当时一名开发人员向MoveBit审计人员提交了包含未经审计功能的代码。该开发人员未能突出新增功能，同时将之前已审计的修复与未经审计的功能混合在一起，导致MoveBit基于不完整的信息发布了最终审计报告。随后，该开发人员使用单签名地址（而非已审计确认的哈希值）部署了合约版本0xcf34，绕过了内部审查协议。Asymptotic团队此前曾在8月份发现过严重漏洞，但该开发人员忽视了漏洞的严重性，尽管有可用的支持，却未能实施必要的修复。oFf币圈网 - 区块链数字货币实时行情平台

攻击于 9 月 7 日 UTC 时间 16:00 开始，黑客利用了闪电贷功能和 `get_sy_amount_in_for_exact_py_out` 查询漏洞。三十分钟后，Nemo 团队检测到异常，YT 收益率显示超过 30 倍。此次事件凸显了 DeFi 智能合约中未经审查的代码所带来的风险，尤其是在未遵循内部治理流程的情况下。开发人员于 2024 年底秘密部署代码（旨在通过闪电贷功能增强可组合性），严重低估了安全风险，并错误地使用了公共方法而不是内部函数，从而构成了主要的攻击媒介。oFf币圈网 - 区块链数字货币实时行情平台

被入侵的代码还包含一些本应只读但却被赋予写入权限的函数，进一步暴露了平台的可操控性。在收到 MoveBit 的初始审计报告后，开发人员将未经审计的功能集成到最终代码库中。混合版本既包含已修复的问题，也包含未经审计的新功能，但并未明确标明功能范围。这种缺乏透明度和对安全最佳实践的遵循，为漏洞利用的成功创造了必要的条件。oFf币圈网 - 区块链数字货币实时行情平台

作为回应，Nemo Protocol 已暂停所有智能合约活动，并正在进行持续调查。该平台尚未披露根本原因，但已确认金库资产仍然安全。此次漏洞利用恰逢 Nemo App 的计划维护期，平台表示，一旦调查进展顺利，将分享更多详细信息。同时，此次事件凸显了 DeFi 平台普遍存在的漏洞，这些平台依赖第三方审计和内部治理，缺乏足够的监管。随着加密货币行业的不断发展，此类事件凸显了制定更严格的代码验证协议和多重签名部署标准，以防止未来再次发生类似漏洞的必要性。oFf币圈网 - 区块链数字货币实时行情平台

Nemo 协议漏洞是 2025 年一系列备受瞩目的 DeFi 漏洞中的最新一起，此前，SwissBorg 遭受了 4100 万美元的黑客攻击，Kinto 也因 155 万美元的漏洞而关闭。这些事件共同凸显了针对 DeFi 生态系统的网络犯罪分子日益精明老练的现状。随着 DeFi 平台功能扩展，涵盖复杂的金融工具和跨链集成，智能合约中存在未被发现的漏洞的风险也在上升。此次事件警示其他 DeFi 协议，在部署新功能之前，应优先进行严格的代码审计，并执行多层安全检查。oFf币圈网 - 区块链数字货币实时行情平台