开发人员违规操作致 Nemo Protocol 智能合约遭攻击，损失 260 万美元

2025 年 9 月 7 日，去中心化金融（DeFi）收益平台 Nemo Protocol 遭遇了一次严重的安全攻击，导致价值约 260 万美元的资产被盗。经调查发现，此次事件的根本原因是一名开发人员绕过了内部审核流程，部署了未经审查的代码。事后发布的报告显示，该攻击利用了两个关键漏洞：一是闪电贷函数被错误地公开；二是某个查询函数在未经授权的情况下可能修改智能合约状态。这些漏洞使得攻击者能够从市场池中窃取稳定币，并通过 Wormhole 的 CCTP 将被盗资金桥接到以太坊。

安全公司 PeckShield 最早发现了这一事件，并指出黑客地址目前持有约 240 万美元的被盗资金。

问题的根源可追溯至 2025 年 1 月。当时，一名开发人员向审计机构 MoveBit 提交了包含未经审计功能的代码，但未明确标示新增功能，还将已修复的内容与未经审计的功能混杂在一起。这导致 MoveBit 基于不完整的信息发布了最终审计报告。随后，该开发人员使用单签名地址（而非经过审计确认的哈希值）部署了合约版本 0xcf34，完全绕过了内部审查协议。值得注意的是，Asymptotic 团队曾在 8 月份发现了相关严重漏洞，但开发人员忽视了其严重性，即便有可用支持，也未能及时进行必要的修复。

攻击于 9 月 7 日 UTC 时间 16:00 开始，黑客利用了闪电贷功能和名为 `get_sy_amount_in_for_exact_py_out` 的查询漏洞。三十分钟后，Nemo 团队检测到异常，发现 YT 收益率飙升超过 30 倍。此次事件清晰揭示了 DeFi 智能合约中未经审查代码所带来的巨大风险，尤其是在未遵循内部治理流程的情况下。据悉，开发人员早在 2024 年底秘密部署相关代码（旨在通过闪电贷增强可组合性），却严重低估了潜在的安全隐患，并错误地将本应为内部调用的方法设置为公共方法，从而成为主要的攻击媒介。

进一步调查显示，被入侵的代码中还存在一些本应只读但却被赋予写入权限的函数，这大大增加了平台的操控风险。MoveBit 在初始审计后，开发人员将未经审计的新功能集成到了最终代码库中。混合版本既包含已修复的问题，也包含未经审计的功能，但并未明确标明具体范围。这种缺乏透明度和对安全最佳实践的忽视，为漏洞的成功利用创造了条件。

作为应对措施，Nemo Protocol 已暂停所有智能合约活动，并正在进行深入调查。尽管平台尚未披露根本原因，但已确认金库资产仍然安全。值得注意的是，此次漏洞恰好发生在 Nemo App 的计划维护期间。平台表示，一旦调查取得进展，将公布更多详细信息。此外，这一事件再次凸显了 DeFi 平台普遍存在的安全隐患——这些平台依赖第三方审计和内部治理，却缺乏足够的监管机制。随着加密货币行业的快速发展，制定更严格的代码验证协议和多重签名部署标准显得尤为重要，以避免类似事件在未来重演。

Nemo 协议漏洞是 2025 年一系列备受关注的 DeFi 攻击中的最新案例。此前，SwissBorg 曾因黑客攻击损失 4100 万美元，而 Kinto 则因 155 万美元的漏洞被迫关闭。这些事件共同表明，针对 DeFi 生态系统的网络犯罪分子正变得越来越精明老练。随着 DeFi 平台不断扩展其功能，涵盖复杂的金融工具和跨链集成，智能合约中未被发现的漏洞风险也在增加。因此，此次事件为其他 DeFi 协议敲响了警钟，在部署新功能之前，必须优先进行严格的代码审计并执行多层安全检查。