Nemo Protocol на Sui взломан: утечка $2,4 млн за минуты

«Каждый новый протокол — это не только инновация, но и новая поверхность для атаки. Без постоянного аудита и децентрализации, безопасность — иллюзия.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В сентябре 2025 года экосистема Sui столкнулась с ещё одним серьёзным испытанием. Протокол Nemo Protocol, платформа для DeFi-доходности, построенная на блокчейне Sui, стала жертвой масштабного взлома, в результате которого злоумышленники похитили 2,4 миллиона долларов в стейблкоинах. Атака была проведена с невероятной скоростью — менее чем за 15 минут — и привела к резкому падению Total Value Locked (TVL) протокола с более чем $6 миллионов до $1,53 миллиона.

Инцидент, впервые зафиксированный аналитической компанией PeckShieldAlert, стал вторым крупным взломом в экосистеме Sui за год, что ставит под сомнение устойчивость её инфраструктуры и безопасность смарт-контрактов. Nemo Protocol немедленно приостановил все смарт-контракты, запустил расследование и призвал пользователей не взаимодействовать с платформой.

Как отметил Хакан Унал из Cyvers: «В DeFi, даже одна уязвимость в библиотеке может стоить миллионов. Скорость атаки — это не ошибка. Это план.»

🔍 Что такое Nemo Protocol: платформа для спекуляции на доходности

Nemo Protocol позиционировался как инновационный DeFi-проект на блокчейне Sui, специализирующийся на торговле будущей доходностью. Его ключевая особенность — возможность разделять стейкнутые активы на два токена:

• Principal Tokens (PTs) — представляют основную сумму инвестиции.
• Yield Tokens (YTs) — представляют права на будущую доходность от стейкинга.

Эта модель позволяла пользователям:

• Продавать ожидаемую доходность (YTs) сейчас, чтобы получить ликвидность.
• Покупать YTs, чтобы спекулировать на росте доходности.
• Разделять риски и доходы между разными участниками рынка.

Такие протоколы, как Nemo, являются частью растущего тренда доходностной децентрализации (yield decentralization), который привлекает внимание как институциональных, так и розничных инвесторов, ищущих новые способы получения пассивного дохода.

⚡ Как произошёл взлом: эксплойт в системе торговли доходностью

По данным PeckShield, атака была направлена на уязвимость в системе торговли Principal и Yield Tokens. Хотя точный вектор атаки ещё уточняется, предварительный анализ показывает, что злоумышленник воспользовался ошибкой в математической логике контракта, что позволило ему:

1. Манипулировать ценами PT и YT токенов, создавая искусственный дисбаланс.
2. Выполнить арбитражную атаку, обменивая поддельные или переоценённые токены на реальные стейблкоины из пулов ликвидности.
3. Вывести средства в USDC и USDT.

Через несколько минут после начала атаки, похищенные средства были перемещены через кросс-чейн мост с сети Arbitrum на Ethereum, что затруднило их отслеживание и заморозку.

Как сказал Зак Чжоу (ZachXBT): «Yield-bearing токены — это сложные инструменты. Одна ошибка в расчёте — и весь пул ликвидности оказывается в руках хакера.»

📉 Последствия атаки: падение доверия и TVL

Реакция рынка была мгновенной и жестокой:

• TVL упал с $6,1 млн до $1,53 млн — потеря более 75% ликвидности.
• Сообщество потеряло доверие — активность в Discord и Twitter резко сократилась.
• Команда приостановила все смарт-контракты для проведения аудита и расследования.
• Цена токена NEMO (если бы он существовал) рухнула бы на 90%+ — как это уже было с другими проектами после взлома.

Хотя Nemo Protocol не имеет собственного токена (на момент атаки), его репутация как надёжной платформы серьёзно пострадала, что может затруднить привлечение новых пользователей и инвестиций.

⚠️ Второй удар по Sui: повторение катастрофы Cetus

Инцидент с Nemo Protocol стал не первым, а вторым крупным взломом в экосистеме Sui в 2025 году. В мае того же года Cetus Protocol, один из ведущих DEX на Sui, был взломан на $223 миллиона.

Тогда атака была совершена через арифметическое переполнение (arithmetic overflow) в сторонней математической библиотеке, что позволило хакеру за несколько минут вывести огромные суммы. Хотя валидаторы Sui и партнёры экосистемы смогли заморозить около $162 миллионов на цепочке, $60 миллионов были успешно выведены на Ethereum.

Это означает, что за один год Sui пережил две крупнейшие атаки в своей истории, что ставит под вопрос:

• Качество аудита смарт-контрактов.
• Готовность команд к реагированию на инциденты.
• Надёжность сторонних библиотек и зависимостей.
• Общую безопасность экосистемы для новых проектов.

Как отметил Чарльз Гильем из Ledger: «Когда один проект падает — это трагедия. Когда два падают похожим образом — это системная уязвимость.»

🛡️ Причины уязвимости: что пошло не так?

Несмотря на высокую производительность Sui, его проекты сталкиваются с теми же рисками, что и любые другие в DeFi.

🔐 Сложность новых финансовых моделей

Протоколы, работающие с доходностью (yield), требуют сложных математических расчётов. Ошибки в формулах, учёте времени или распределении вознаграждений могут быть использованы для эксплуатации.

📚 Зависимость от сторонних библиотек

Как в случае с Cetus, использование непроверенных или устаревших библиотек может стать точкой входа для атаки. Разработчики должны проводить тщательный аудит всех зависимостей.

⚠️ Недостаточный аудит

Многие проекты, особенно на новых блокчейнах, стремятся к быстрому запуску, что приводит к сокращению времени на аудит безопасности. Это создаёт окно для эксплойтов.

🌐 Централизованные элементы управления

Если у команды есть административные ключи для обновления контрактов, это создаёт централизованную точку риска, которая может быть скомпрометирована.

✅ Как защититься: советы для пользователей и разработчиков

Чтобы избежать подобных катастроф, необходим комплексный подход.

🔧 Для разработчиков

• Многоуровневый аудит — проводите аудиты у нескольких компаний (CertiK, OpenZeppelin, Zellic).
• Тестирование на устойчивость — имитируйте атаки, проверяйте граничные значения и крайние сценарии.
• Используйте проверенные библиотеки — избегайте кастомных решений для сложных расчётов.
• Внедряйте мультиподпись — для управления критическими функциями.
• Программы bug bounty — платите white-hat хакерам за обнаружение уязвимостей.

🔐 Для пользователей

• Не вкладывайте больше, чем можете позволить себе потерять.
• Изучайте историю проекта — были ли у него аудиты, инциденты, какие команды его поддерживают.
• Следите за новостями — подпишитесь на алерты от Cyvers, PeckShield, Chainalysis.
• Диверсифицируйте риски — не храните все активы в одном протоколе.
• Используйте аппаратные кошельки для управления крупными суммами.

🌐 Будущее Sui: можно ли восстановить доверие?

Несмотря на повторяющиеся атаки, Sui остаётся одним из самых перспективных блокчейнов с высокой скоростью и масштабируемостью. Однако для дальнейшего роста необходимо:

🛡️ Укрепление безопасности экосистемы

Создание фонда безопасности, обязательные аудиты для всех новых проектов, поддержка open-source инструментов анализа.

🏗️ Поддержка со стороны Sui Foundation

Активное участие в восстановлении пострадавших проектов, финансирование мер по улучшению безопасности.

📚 Образование и прозрачность

Публикация подробных отчётов о взломах, обучение разработчиков, информирование пользователей.

⚖️ Переход к децентрализованному управлению

Снижение зависимости от централизованных команд и ключей, переход к DAO.

Как сказал Виталик Бутерин: «Безопасность — это не финальный продукт. Это непрерывный процесс, в котором нет места самодовольству.»

✅ Выводы: уроки взлома Nemo Protocol

Атака на Nemo Protocol — это не просто потеря $2,4 млн. Это предупреждение для всей индустрии DeFi.

Ключевые выводы:

• Взлом Nemo Protocol привёл к потере $2,4 млн и падению TVL с $6,1 млн до $1,53 млн.
• Атака была совершена через уязвимость в системе торговли доходностью (Yield Tokens).
• Это второй крупный взлом в экосистеме Sui в 2025 году после атаки на Cetus Protocol.
• Сложные финансовые модели требуют особого внимания к безопасности и аудиту.
• Доверие пользователей хрупко и восстанавливается долго.

Как сказал Андреас Антонопулос: «В DeFi, код — это закон. Но если в законе есть лазейка, её обязательно найдут.»

История Nemo Protocol — это напоминание о том, что инновации должны идти рука об руку с безопасностью. Пока хакеры становятся всё умнее, разработчики должны становиться ещё более бдительными. И пока экосистемы не будут учиться на своих ошибках, мы будем продолжать видеть одни и те же катастрофы — только с новыми названиями.