Sui(SUI) 協議 Nemo 遭駭損失 259 萬美元：未審核合約成致命漏洞

基於 Sui(SUI) 的收益型交易協議 Nemo，近日因部署未經審計的智慧合約，導致協議遭駭，損失資產高達 259 萬美元（約新台幣 8,400 萬元）。根據 Nemo 在報告中的說明，該起事件已於 9 月 7 日被發現，並詳盡公開其遭入侵的技術細節與應對過程。

本次攻擊主因為駭客利用「get_sy_amount_in_for_exact_py_out」函數中的設計漏洞，透過操控協議內部狀態規則，成功發動攻擊。這段存在問題的程式碼，未經智慧合約安全審查公司 Asymptotic 正式審核，即直接部署上鏈，過程中僅由單一地址簽署，且未依發佈流程提交必要的審核哈希，形同繞過安全把關。

據 Asymptotic 表示，其實早在前期審查報告中便已指出該函數可能導致潛在風險。然而 Nemo 團隊承認當時並未立即修正，直到災難發生後才懊悔未即時處理。引人關注的是，這項未經審核的撰寫工作可追溯至今年 1 月，而直到 3 個月後的 4 月，Nemo 才開始逐步實施新版合約的額外安全強化程序。

更值得一提的是，儘管 Asymptotic 已在 8 月 11 日再次對此漏洞提出警告，Nemo 當時仍選擇優先處理其他議題，最終錯失防堵時機。評論：此事件反映了部分 Web3 項目對基礎安全流程的輕忽，遠比技術漏洞本身更為致命。

目前，為避免進一步擴大損失，Nemo 決定暫停協議主要功能，並與多家區塊鏈安全團隊合作追查資產流向，其中包括聯絡多家中心化交易所嘗試凍結駭客資產。另一方面，Nemo 已緊急推送修補程式，目前正由 Asymptotic 進行全面複審，相關更新包含移除閃電貸功能與新增手動重設機制，以提升整體穩健性。

除了技術補救進行中，Nemo 亦著手規劃針對受害用戶的補償方案，預計將涵蓋包括協議債務重組在內的完整補償模型。Nemo 官方最後強調，此次危機讓團隊更深刻體認「安全與風控需時刻警戒」，並承諾未來將強化內部治理，以及落實更嚴格的鏈上防禦機制。