快速代码中的缺陷：仓促的智能合约如何导致 Nemo 协议出现 260 万美元的漏洞

Nemo 协议是一个在 Arbitrum 网络上运行的去中心化金融 (DeFi) 平台,根据其官方沟通渠道发布的一份声明,该协议已将一个价值 260 万美元的漏洞归咎于一名外部开发人员,该开发人员部署了一份未经审计的智能合约。该事件发生在本月初,导致该平台的流动性池中的资金被未经授权提取。该协议强调,该漏洞是由一个定制开发的组件引入的,而非其核心基础设施,后者此前已由第三方安全公司审计。

据报道,该漏洞利用了新部署合约中的一个缺陷,而开发者在实施之前并未提交正式的安全审查。Nemo 协议的治理团队已启动内部调查,以确定漏洞的严重程度并找出部署过程中可能存在的任何漏洞。为了应对此次事件,平台已暂停所有后续合约更新,并已开始对所有近期代码更改进行全面审核。

根据区块链分析工具,被盗资金通过一系列跨链交易迅速转移,使得立即追回资金变得复杂。攻击者似乎利用了一种多跳交易策略来掩盖踪迹,并将资产转移到多个不同网络的多个钱包,包括

此次事件再次引发了 DeFi 社区关于快速部署未经验证代码相关风险的讨论。许多专家强调,尽管第三方审核仍然是一项关键保障措施,但如果开发人员绕过这些流程或将未经审核的组件引入现有系统,则并非万无一失。在像 Arbitrum 这样快速发展的生态系统中,这一点尤其重要,因为创新速度往往超过安全协议的速度。

Nemo 协议已宣布计划实施更严格的代码审查程序,包括对所有新部署进行强制审计,无论其复杂程度或范围如何。该平台还计划拨出部分保险基金,以弥补受影响用户的损失。虽然尚未确定资金返还的时间表,但该协议已向利益相关者保证,一旦调查完成,将优先赔偿。