Nemo Protocol thừa nhận lỗi không audit

Nemo Protocol thừa nhận lỗi không audit

-

Lưu lại đọc sau

Dự án DeFi trên Sui cho biết lỗ hổng bắt nguồn từ một nhà phát triển và thiếu quy trình kiểm soát nâng cấp.


Sàn giao dịch phái sinh phi tập trung (perp DEX) Nemo Protocol, xây dựng trên nền tảng Sui, vừa công bố báo cáo kỹ thuật sau vụ tấn công mạng làm thất thoát 2,6 triệu USD hồi đầu tháng.

Theo phân tích hậu sự cố, nguyên nhân chính là do hai lỗ hổng bảo mật đã được đưa vào hệ thống mà không trải qua quá trình kiểm toán (audit). Những thay đổi này do một nhà phát triển thực hiện và triển khai trực tiếp lên mạng chính (mainnet).


Chi tiết về hai lỗ hổng

  1. Hàm flash loan bị lộ ra ngoài: Một hàm nội bộ cho phép vay vốn nhanh trong nội bộ hợp đồng thông minh đã bị vô tình mở cho người dùng bên ngoài.
  2. Hàm truy vấn có thể thay đổi trạng thái: Một hàm chỉ nên dùng để đọc dữ liệu lại cho phép thay đổi trạng thái của hợp đồng, tạo cơ hội cho kẻ tấn công thao túng hệ thống.

Tổ hợp hai lỗ hổng này cho phép tin tặc thao túng trạng thái nội bộ của Nemo Protocol, rút lượng lớn tài sản từ khoản thanh khoản SY/PT.


Lỗi từ quy trình quản trị và chủ quan

Báo cáo cho biết các lỗ hổng này đã tồn tại từ tháng 1 năm nay. Sau khi nhận được báo cáo kiểm toán ban đầu từ MoveBit, một nhà phát triển của Nemo đã tự ý thêm các tính năng mới mà không gửi kiểm toán lại.

Việc triển khai bản hợp đồng chứa mã độc hại được thực hiện ngay sau đó, dù không có sự giám sát nào.

Nguyên nhân sâu xa về mặt quản trị là việc giao thức phụ thuộc vào địa chỉ nâng cấp chỉ cần một chữ ký duy nhất, điều này không ngăn được việc triển khai mã chưa được kiểm tra kỹ lưỡng,” báo cáo viết.

Ngoài ra, đội ngũ thừa nhận đã bỏ qua cảnh báo từ nhóm bảo mật Asymptotic vào tháng 8 về một lỗ hổng liên quan – một dấu hiệu của sự chủ quan.


Diễn biến sau vụ tấn công

  • Tin tặc đã sử dụng cầu nối Wormhole CCTP để chuyển toàn bộ số tiền bị đánh cắp từ Sui sang Ethereum.
  • Hầu hết tài sản hiện vẫn nằm trong một địa chỉ duy nhất.
  • Nemo Protocol đã tạm dừng các chức năng chính, vá lỗ hổng và gửi mã nguồn cho kiểm toán khẩn cấp.

Đội ngũ đang phối hợp với các chuyên gia bảo mật trên Sui để truy vết tài sản và đang xây dựng kế hoạch bồi thường cho người dùng bị ảnh hưởng.


Thông điệp xin lỗi và cam kết cải thiện

Mặc dù đã trải qua nhiều đợt kiểm toán và có các biện pháp bảo vệ, chúng tôi thừa nhận rằng đã quá tin tưởng vào những đảm bảo trước đó, thay vì duy trì sự kiểm tra nghiêm ngặt ở mọi bước đi,” Nemo Protocol chia sẻ.

Dự án khẳng định sẽ chuyển sang mô hình nâng cấp đa chữ ký (multi-sig) và tăng cường quy trình kiểm toán để tránh tái diễn sự cố.

Vụ việc tại Nemo Protocol là lời nhắc nhở mạnh mẽ: dù có kiểm toán, nhưng nếu quy trình quản trị yếu và chủ quan, thì rủi ro vẫn luôn hiện hữu.

Câu hỏi đặt ra là: Liệu cộng đồng có tha thứ và quay trở lại – hay niềm tin đã bị phá vỡ?

> Ý kiến đóng góp xin gửi về: [email protected] > Press Inquiries: [email protected]

GameN - MXH dành cho game thủ Việt

Ban quản trị

ĐỌC NHIỀU