수이(SUI) 기반 수익 거래 프로토콜인 네모(Nemo)가 스마트 계약 미감사 코드로 인해 약 259만 달러(약 36억 원)의 자산을 탈취당한 것으로 드러났다. 네모는 최근 보안 사고 원인을 분석한 보고서를 통해 해킹이 발생한 배경과 대응 과정을 상세히 공개했다.

사고는 지난 9월 7일 발생했다. 공격자는 슬리피지(slippage) 최소화를 위한 `get_sy_amount_in_for_exact_py_out` 함수의 취약점을 이용해 프로토콜 상태를 조작하는 데 성공했다. 해당 함수는 스마트 계약 보안 감사를 맡은 애심토틱(Asymptotic)의 공식 승인을 받지 않은 상태에서 온체인에 배포됐으며, 이 코드 변경은 단일 주소 서명만으로 이뤄졌다.

애심토틱은 이미 사전…  더보기