安全事件概述 - Nemo Protocol于9月7日遭受260万美元漏洞攻击 随后启动NEOM债务代币计划 按每损失1美元发行1枚NEOM代币补偿用户[1] - 攻击导致平台总锁仓价值从630万美元暴跌至157万美元 用户撤出超过380万美元的USDC和SUI代币[2] - 事件发生在2025年加密货币领域最严重的安全日之一 同期发生SwissBorg的4150万美元SOL攻击和Yala稳定币脱锚事件[3] 漏洞技术分析 - 攻击源于恶意开发人员秘密部署未审计代码 通过单签名地址0xf55c绕过内部审核流程直接部署合约版本0xcf34[2][4][5] - 漏洞具体表现为闪贷功能被错误设置为公开可调用 且查询函数具备未授权修改合约状态的权限[2][7] - Asymptotic团队8月已识别出C-2级高危漏洞 警告存在未授权代码修改风险但未获重视[5][6] 开发过程失职 - 开发人员自2025年1月起向MoveBit审计方提交混合已审计修复和未审计功能的代码 未明确标注新增内容[4] - MoveBit基于不完整信息出具最终审计报告 因开发人员使用了未授权的智能合约版本[5] - 开发人员忽视安全合作伙伴的严重性警告 未在攻击前实施必要的修复方案[6] 攻击执行过程 - 黑客于9月7日16:00 UTC开始利用闪贷功能和已知查询漏洞实施攻击[6] - 系统在30分钟后通过YT收益率显示超过30倍异常回报而检测到入侵[6] - 攻击向量源于仅设计为只读功能的函数实际包含写入权限[7] 恢复方案设计 - 三步骤恢复计划首阶段允许用户通过一键操作将剩余资产从受损资金池迁移至经多重审计的新合约[8] - NEOM代币计划提供基于市场的退出策略 用户可在索赔债务代币同时完成资产迁移[1][8] - 开发人员最初借鉴Aave和Uniswap协议设计闪贷功能以最大化可组合性 但严重低估安全风险[7]