Децентрализованный финансовый протокол Nemo, построенный на блокчейне Sui, понес убытки в размере 2,59 млн долларов из-за эксплуатации уязвимости в смарт-контракте. Инцидент произошел 7 сентября 2025 года, однако корни проблемы уходят в январь, когда разработчик развернул непроверенный код, нарушив процедуры безопасности.
Аудиторская фирма Asymptotic выявила риски в предварительном отчете, но команда Nemo признала, что «не отреагировала своевременно на concerns безопасности». Уязвимость заключалась в функции get_sy_amount_in_for_exact_py_out, предназначенной для снижения проскальзывания, которая позволяла злоумышленнику изменять состояние протокола. Код был развернут с использованием single-signature адреса, минуя аудит.
Несмотря на внедрение улучшенной процедуры апгрейда в апреле, уязвимость уже находилась в production-среде. 11 августа Asymptotic повторно уведомила Nemo, но реакция последовала только после взлома. Протокол приостановил основные функции, разработал патч и начал экстренный аудит обновленного кода. Команда сотрудничает с security-специалистами для отслеживания средств и готовит план компенсации пользователям, включая restructuring долга на уровне tokenomics.