Nemo Protocol потерял $2,6 млн из-за неаудированного кода и проигнорированной уязвимости

«Одна строка кода, пропущенная при аудите, может стоить миллионов. В DeFi нет места самодовольству — только постоянная бдительность.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В сентябре 2025 года экосистема Sui столкнулась с ещё одним серьёзным инцидентом: протокол Nemo Protocol, платформа для торговли доходностью (yield trading), стал жертвой масштабного взлома, в результате которого было похищено около $2,6 миллиона в стейблкоинах. Что делает этот случай особенно показательным, так это то, что он был полностью предотвратим. Согласно внутреннему анализу самого проекта, уязвимость была обнаружена аудиторской компанией Asymptotic за месяц до атаки, но команда Nemo не успела её устранить.

Инцидент, произошедший 7 сентября, стал вторым крупным хаком на блокчейне Sui в 2025 году после взлома Cetus Protocol на $223 млн. Он подчеркнул растущую проблему в индустрии DeFi: недостаточное внимание к процессам безопасности, чрезмерное доверие к одному разработчику и игнорирование сигналов тревоги. По данным Hacken, в первом полугодии 2025 года потери от взломов превысили $3,1 миллиарда, что на 88,7% больше, чем в H1 2024 года.

Как отметил Хакан Унал из Cyvers: «Самый опасный враг DeFi — это не хакер. Это ощущение ложной безопасности.»

🔍 Как произошла атака: уязвимость в функции расчёта slippage

По результатам постмортем-анализа, опубликованного командой Nemo Protocol, атака была совершена через критическую уязвимость в функции смарт-контракта, предназначенной для снижения проскальзывания (slippage) при обмене токенов.

Конкретно, уязвимой оказалась функция “get_sy_amount_in_for_exact_py_out”. Она позволяла злоумышленнику манипулировать внутренним состоянием протокола, что давало возможность:

• Искусственно изменять цену между Principal Tokens (PTs) и Yield Tokens (YTs).
• Выполнять арбитражные атаки с огромной маржой.
• Выводить средства из пулов ликвидности, используя поддельные или переоценённые токены.

После эксплуатации уязвимости хакер быстро переместил похищенные активы через кросс-чейн мост с сети Arbitrum на Ethereum, что затруднило их отслеживание и заморозку.

⚠️ Почему это произошло: цепочка человеческих ошибок

Атака на Nemo Protocol — это не просто технический сбой, а системный сбой в управлении рисками. Расследование выявило несколько ключевых причин, которые привели к катастрофе:

🚫 Неаудированный код попал в продакшен

Функция, ставшая точкой входа для атаки, была развернута на основной сети в начале января 2025 года без полноценного аудита. Это стало возможным из-за слабых процедур деплоя.

🔐 Только одна подпись для деплоя

Для публикации нового кода требовалась подпись всего с одного адреса. Это создавало централизованную точку риска, где один разработчик мог вносить изменения без контроля со стороны команды.

❌ Проигнорированный отчёт от Asymptotic

Аудиторская компания Asymptotic обнаружила уязвимость и предупредила Nemo ещё 11 августа 2025 года. Однако команда заявила, что «была сосредоточена на других вопросах» и не смогла оперативно отреагировать.

🔄 Несоблюдение процедуры аудита

Разработчик не использовал хеш подтверждения (confirmation hash), предоставленный в отчёте Asymptotic, что нарушило стандартную процедуру проверки соответствия кода аудиту.

🔧 Медленное внедрение мер безопасности

Процедура, которая могла бы предотвратить развертывание неаудированного кода (например, многоуровневая мультиподпись), была внедрена только в апреле 2025 года — спустя три месяца после того, как уязвимый код уже попал в продакшен.

Как сказал Зак Чжоу (ZachXBT): «Это не хак. Это самоубийство с помощью хакера.»

📉 Последствия атаки: падение TVL и потеря доверия

Реакция рынка была немедленной и разрушительной:

• Total Value Locked (TVL) упал с более чем $6 миллионов до $1,53 миллиона — потеря свыше 75% ликвидности.
• Протокол приостановил все смарт-контракты для проведения расследования и разработки патча.
• Сообщество потеряло доверие — активность в Discord и Twitter резко снизилась.
• Команда начала сотрудничество с несколькими группами безопасности для попытки заморозить активы на централизованных биржах.

Хотя Nemo Protocol не имеет собственного токена, его репутация как надёжной платформы для yield-trading серьёзно пострадала.

🛡️ Параллель с другими случаями: история повторяется

Инцидент с Nemo Protocol — не единичный случай. В 2025 году всё чаще происходят взломы, которые можно было легко предотвратить.

🎨 SuperRare ($730 тыс.)

В конце июля платформа для торговли NFT SuperRare стала жертвой эксплойта из-за базовой ошибки в смарт-контракте, которую можно было обнаружить при стандартном тестировании.

🏦 BtcTurk ($48–54 млн)

Турецкая биржа дважды подверглась атакам, связанным с утечкой ключей, демонстрируя хронические проблемы с безопасностью горячих кошельков.

🔥 Failed NPM-эксплойт

Недавняя попытка компрометации популярного пакетного менеджера NPM напомнила, что даже самые базовые практики безопасности часто игнорируются, создавая угрозу для всей инфраструктуры Web3.

Как отметил Чарльз Гильем из Ledger: «Когда одна и та же ошибка повторяется снова и снова, это уже не случайность. Это культура.»

🛠️ Что сделано: патч, возмещение и реформа

После атаки команда Nemo Protocol приняла ряд экстренных мер.

✅ Разработка и аудит патча

Был разработан исправляющий патч, который сейчас находится на аудите у Asymptotic. В него вошли:

• Удаление уязвимой функции.
• Исправление логики расчётов PT/YT.
• Добавление функции ручного сброса значений (manual-reset) для восстановления после атак.

💸 План компенсации пользователей

Команда заявила о разработке детального плана возмещения убытков, включая:

• Структурирование долга на уровне токеномики.
• Приоритетное возмещение средств наиболее пострадавшим пользователям.

🔐 Ужесточение процедур безопасности

В будущем будут введены:

• Обязательный аудит перед любым деплоем.
• Многоуровневая мультиподпись для управления контрактами.
• Регулярные внутренние и внешние проверки безопасности.

Как заявила команда: «Мы узнали, что безопасность и управление рисками требуют постоянной бдительности.»

✅ Уроки для всей индустрии DeFi

Случай с Nemo Protocol должен стать обязательным учебным материалом для всех участников экосистемы.

🔍 Аудит — это не формальность

Отчёт аудитора — это не бумажка для PR. Это жизненно важный документ, который нужно выполнять дословно и своевременно.

⚖️ Децентрализация процессов

Деплой кода не должен зависеть от одного человека. Требуется мультиподпись и четкие SLA на реагирование на уязвимости.

🛡️ Быстрое реагирование на угрозы

Если аудитор нашёл проблему, она должна стать абсолютным приоритетом, вне зависимости от других задач.

📊 Прозрачность перед сообществом

Пользователи должны знать о рисках и шагах по их устранению. Затягивание с информированием усугубляет потерю доверия.

🌐 Обязательные security best practices

Индустрия нуждается в стандартах, аналогичных MiCA, которые будут требовать обязательных аудитов, bug bounty программ и страхования казначейства.

Как сказал Виталик Бутерин: «Безопасность — это не продукт. Это процесс, в котором нет конца.»

✅ Выводы: когда урок стоит $2,6 млн

Атака на Nemo Protocol — это трагедия, которая могла быть предотвращена. Её главный урок — технологии могут быть совершенны, но если процессы управления слабы, система обречена.

Ключевые выводы:

• Взлом Nemo Protocol привёл к потере $2,6 млн из-за неаудированного кода.
• Уязвимость была найдена Asymptotic за месяц до атаки, но проигнорирована.
• Развертывание кода зависело от одного разработчика, что создало центральную точку отказа.
• TVL упал с $6 млн до $1,53 млн, доверие сообщества серьёзно пострадало.
• Команда разрабатывает патч и план компенсации, но восстановление займёт месяцы.
• Индустрия должна перейти от реактивной к проактивной культуре безопасности.

Как сказал Андреас Антонопулос: «В DeFi, ты не теряешь деньги из-за хакера. Ты теряешь их из-за того, что не сделал достаточно, чтобы их защитить.»

История Nemo Protocol — это не просто рассказ о хаке. Это предостережение. Она показывает, что в мире, где каждый контракт — это закон, одна ошибка в процессе может стоить миллионов. И пока проекты будут ставить скорость выше безопасности, мы будем продолжать видеть одни и те же катастрофы — просто с новыми названиями и большими суммами.