نشر بروتوكول نيمو تقريرًا تفصيليًا عن الثغرة الأمنية التي كبدت البروتوكول خسارة قدرها 2.59 مليون دولار. وكشف التقرير أن الثغرة الأمنية ناجمة عن شيفرة برمجية لم يدققها فريق MoveBit.
ملخص
- كان استغلال بروتوكول Nemo في السابع من سبتمبر هو نتاج كود غير مدقق أرسله أحد مطوريه.
- أدى الاستغلال إلى خسارة 2.4 مليون دولار تم سرقتها من قبل المخترق، والتي تم ربطها لاحقًا بإيثريوم.
تعرض بروتوكول نيمو لاختراق في 7 سبتمبر، مما أدى إلى انخفاض إجمالي القيمة المقفولة من أكثر من 6 ملايين دولار إلى حوالي 1.5 مليون دولار. وسُرق حوالي 2.4 مليون دولار من بروتوكول منصة التمويل اللامركزي (DeFi) القائم على منصة Sui ( SUI ) في الهجوم.
وبعد ثلاثة أيام، عادت المنصة بتقرير تشريحي يشرح ما أدى بالفعل إلى الاستغلال.
"اليوم نصدر تقريرنا الكامل عن الحادثة لتوفير الشفافية في استجابتنا، بما في ذلك السبب الجذري والدروس المستفادة والخطوات التالية"، كما كتب البروتوكول في منشور حديث.
وفقًا للتقرير، كشف مطور لم يُكشف عن اسمه عن ميزات جديدة دون موافقة التدقيق، ثم شرع في نشرها. ولم يُبلغ المطور مدققي MoveBit بأنها إضافة جديدة أُدمجت مع الإصلاحات القديمة التي خضعت للتدقيق.
من هذا الضعف، استغلّ المهاجم عنصرين رئيسيين. أولًا، وظيفة قرض سريع تُركت عامة عن طريق الخطأ بدلًا من خاصة. ثانيًا، وظيفة تسعير معيبة يمكنها تغيير بيانات العقد الداخلية، رغم أنها مُصممة لقراءة البيانات فقط.
سمح هذان الخللان في النظام للمخترق باستنزاف أصول من مجمع سيولة نيمو. ثم تم ربط الأموال المسروقة لاحقًا بإيثريوم ( ETH ) عبر CCTP، مع وجود 2.4 مليون دولار أمريكي حاليًا في محفظة المخترق النشطة.
كيف حدث استغلال بروتوكول نيمو؟
عندما وقع الهجوم، استغلّ المخترق ثغرات النظام لاقتراض ومبادلة وسكّ عملات مميزة بطريقة تلاعبت بالأسعار وأدّت إلى استنزاف المجمع. لاحظ فريق نيمو عوائد غير عادية تجاوزت 30 ضعفًا خلال أول 30 دقيقة، فأوقفوا البروتوكول مؤقتًا من خلال محفظة متعددة التوقيعات.
في هذه المرحلة، تم بالفعل نقل معظم الأموال المسروقة خارج السلسلة.
استجابةً لذلك، اتخذ نيمو خطواتٍ لإصلاح الثغرات الأمنية. أُزيلت وظيفة القرض السريع، وصُحّحت أداة التسعير لمنعها من تعديل البيانات الداخلية. كما أصلح الفريق خللًا آخر مرتبطًا قد يؤثر على أسعار الصرف. وتُجرى حاليًا عمليات تدقيق طارئة، وقد وعد البروتوكول بإشراك عدة شركات أمنية لإجراء مراجعات مستقلة للشيفرة المُحدّثة.
بالإضافة إلى ذلك، يخطط بروتوكول Nemo لإعادة ضبط البيانات التالفة على السلسلة وإعادة موازنة مجموعات السيولة الخاصة به حتى يتمكن البروتوكول من العمل بشكل طبيعي مرة أخرى.
ما هي الخطوات التالية؟
وفقًا لتقرير ما بعد الوفاة، تُعِدّ نيمو خطة تعويض للمستخدمين المتضررين. كما يتعاون الفريق مع منصات التداول وشركات الأمن وجهات إنفاذ القانون لتتبع الأصول المسروقة ومنع المخترق من تصفية الأموال.
تدرس نيمو أيضًا تغييرات طويلة المدى لتحسين الأمان. وتشمل هذه التغييرات ضوابط أكثر صرامةً للترقيات، وعمليات تدقيق أكثر دقة، وبرامج مكافآت أوسع نطاقًا لاكتشاف الأخطاء، وتركيزًا أكبر على الشفافية.
بالنسبة للمستقبل، يلتزم الفريق ببناء ممارسات أمنية أقوى، ومساءلة أفضل، وتواصل أوثق مع المستخدمين من أجل إعادة بناء الثقة والمرونة.
