Уязвимость протокола Nemo похищает 2,4 миллиона и проверяет безопасность DeFi

Эксплойт протокола Nemo в сети Sui стал еще одним доказательством высокой уязвимости DeFi-протоколов. Примерно 2,4 миллиона долларов, в основном USDC, были украдены после того, как злоумышленники нашли слабое место в смарт-контрактах Nemo. Затем они переместили средства через несколько сетей, чтобы скрыть следы, сначала с Sui на Arbitrum, а затем на Ethereum через мост Circle. Такие межсетевые схемы отмывания стали характерной чертой атак на DeFi и продолжают создавать сложности для расследований.

Как уязвимости смарт-контрактов открывают путь к эксплойтам

Сам Nemo — это платформа для доходного трейдинга. Она позволяет пользователям вносить активы и делать ставки на рост или падение процентных ставок по займам. В DeFi все работает через смарт-контракты — самоуправляемые программы. Автоматизация делает DeFi эффективным и привлекательным. Но даже малейшая ошибка в коде может привести к крупным потерям. В этом случае смарт-контракты стали слабым звеном. Как только злоумышленник нашел лазейку, вывести средства и замаскировать их через разные сети оказалось просто.

Масштаб одного эксплойта впечатляет, но общая картина еще хуже. В 2025 году эксплойты DeFi уже составляют около 80% всех криптопотерь. С начала года было украдено более 2,17 миллиарда долларов, и каждый месяц появляются новые случаи. Только в августе зафиксировано 163 миллиона долларов потерь в 16 атаках. Инцидент с Nemo почти сразу же последовал за хакерской атакой на Venus Protocol на 27 миллионов и на Bunni DEX на 8,4 миллиона. Ранее в этом году Cetus Protocol в сети Sui потерял 260 миллионов. Взлом ByBit на 1,5 миллиарда остается крупнейшим, но повторяющиеся мелкие атаки показывают постоянное давление на экосистему.

Межсетевые мосты как ключевая цель в DeFi-эксплойтах

Межсетевые мосты позволяют пользователям переводить активы между блокчейнами. Это удобно, но одновременно делает их привлекательной целью для хакеров, поскольку они хранят крупные суммы в одном месте. Злоумышленники используют сложность DeFi-систем, перемещая украденные средства по нескольким блокчейнам, чтобы избежать обнаружения. В 2022 году атаки на мосты составляли 69% украденных средств — более 2 миллиардов долларов в 13 случаях. Случай Nemo соответствует этой модели и подтверждает, что мосты остаются высокоценными целями.

Когда Cetus подвергся атаке ранее в этом году, токен SUI упал примерно на 5%. Потери Nemo меньше, но повторяющиеся инциденты на одной сети усиливают опасения. Многие пользователи теперь распределяют активы по разным протоколам или тестируют только небольшие суммы, проявляя осторожность.

Меры безопасности протоколов для предотвращения эксплойтов

Для самих DeFi-протоколов уроки уже очевидны. Полные аудиты, программы вознаграждения за обнаружение ошибок, постепенный запуск и страхование от взлома становятся обязательными. Тем не менее стремление быстро внедрять инновации и привлекать пользователей часто оставляет безопасность на втором плане. Эта цена оказывается высокой.

На уровне отрасли меры продвигаются медленно. Обсуждаются улучшенные стандарты безопасности, инструменты мониторинга в реальном времени и формальная проверка кода. Регуляторы следят за ростом потерь. Каждый эксплойт усиливает аргументы в пользу строгого надзора, и требования к регулированию будут только усиливаться. Также вероятно расширение страховых продуктов, что даст пользователям защиту, но одновременно потребует от протоколов соблюдения минимальных требований безопасности.

Баланс инноваций и безопасности в экосистеме DeFi

DeFi открывает новые финансовые возможности, но использование смарт-контрактов несет риски, которых нет в традиционном финансировании. Общая стоимость активов в DeFi составляет около 48 миллиардов долларов, что отражает высокий спрос. Тем не менее безопасность отстает от инноваций. Это подтверждает необходимость замедления темпов развития, приоритета безопасности и восстановления доверия пользователей. Инновации не могут опережать доверие. Без прочной основы следующий эксплойт — вопрос не «если», а «когда».