Розробники протоколу Nemo розкрили джерело проблеми з безпекою, якою скористався кіберзлочинець для виведення криптоактивів на $2,4 млн кількома днями раніше.
Згідно з офіційним повідомленням, експлойт став можливим через фрагмент коду з оновленими функціями, доданий невідомим програмістом. Цей учасник не повідомив аудиторську фірму MoveBit про інтеграцію нових елементів до раніше перевірених апдейтів. Зловмисник використав відкриту функцію швидкого кредитування та нефункціональний механізм встановлення цін, який замість читання даних міг модифікувати внутрішні параметри смарт-контракту.
Внаслідок цих системних вад атакувальник отримав доступ до кредитування та емісії токенів, через що резерви ліквідності Nemo були повністю виведені. Пізніше кіберзлочинець перемістив захоплені активи в мережу Ethereum за допомогою моста Wormhole CCTP.
Представники Nemo повідомили про випуск оновлення, яке виключає проблемні функції: видалено інструмент миттєвих кредитів та модифіковано механізм ціноутворення для блокування змін у внутрішніх даних. Додатково виправлено помилку, що могла впливати на котирування. Наразі триває терміновий аудит коду з залученням спеціалізованих компаній. Для повного відновлення роботи планується скинути пошкоджені блокчейн-дані та переналаштувати баланс пулів ліквідності.
Команда також анонсувала підготовку схеми відшкодування збитків постраждалим. Для відстеження вкрадених коштів продовжуються контакти з торговими майданчиками та правоохоронцями. У майбутньому планується запуск програми заохочення за виявлення недоліків у системі.
Радикально збільшити винагороди для етичних хакерів за знайдені вразливості нещодавно закликала аналітична компанія LlamaRisk, щоб підвищити ефективність пошуку помилок у криптографічних проектах.
Источник: cryptocurrency.tech
