Puntos Clave de la Noticia
- Origen del Exploit: Un desarrollador no autorizado eludió las auditorías y desplegó smart contracts vulnerables usando una aprobación de firma única, exponiendo funciones de flash loan y query que permitieron un exploit de $2.6M.
- Plan de Recuperación: Nemo lanzó tokens de deuda NEOM, vinculados 1:1 a las pérdidas en USD, junto con una migración segura de activos y un modelo de redención de múltiples niveles respaldado por fondos recuperados y capital externo.
- Crisis DeFi: El hack se suma a los $2.37B en pérdidas DeFi de 2025, con septiembre marcado por la brecha de $41.5M de SwissBorg, los ataques a la cadena de suministro npm y el colapso de la stablecoin Yala a $0.2074.
Nemo Protocol ha iniciado un programa de recuperación tras un exploit de $2.6 millones que paralizó su plataforma DeFi basada en Sui el 7 de septiembre. La iniciativa se centra en los tokens de deuda NEOM, emitidos 1:1 por cada dólar perdido, lo que permite a los usuarios afectados recuperar valor mientras migran sus activos a contratos recién asegurados. La brecha, rastreada hasta un desarrollador no autorizado, expuso profundas fallas en los procesos de auditoría y despliegue de Nemo.
Official Update:
Following the September 8 security incident, Nemo Protocol has finalized a comprehensive compensation plan. We remain committed to transparency and accountability.
We are deeply grateful to our community and partners for their trust and support, and we will… pic.twitter.com/OWDIG5PSyA
— Nemo (@nemoprotocol) September 15, 2025
Desarrollador no autorizado y mecánica del Exploit
El ataque se originó a partir de código no autorizado desplegado a través de una aprobación de firma única, eludiendo la revisión interna de Nemo. Las vulnerabilidades incluían funciones de flash loan expuestas como públicas y funciones de query capaces de realizar cambios de estado no autorizados.
El desarrollador había enviado características no auditadas a MoveBit en enero de 2025, mezclándolas con correcciones previamente revisadas. Las auditorías finales se basaron en datos incompletos, ya que la versión del contrato desplegado difería del hash aprobado.
Colapso y Detección
El total value locked de Nemo se desplomó de $6.3 millones a $1.57 millones a medida que los usuarios retiraban más de $3.8 millones en USDC y SUI. El exploit comenzó a las 16:00 UTC y fue detectado treinta minutos después, cuando los rendimientos de YT se dispararon 30 veces.
El desarrollador, inspirado por Aave y Uniswap, subestimó los riesgos de la composability. Las funciones de solo lectura con capacidades de escritura se convirtieron en el vector principal de la brecha. El incidente coincidió con otros ataques importantes, incluyendo el hack de $41.5 millones de SwissBorg en SOL y la depeg de la stablecoin Yala.
Recuperación y mecánica del token NEOM
La recuperación de Nemo en tres pasos comienza con la migración de activos a contratos multi-auditados a través de acciones de un solo click. Los usuarios reciben tokens NEOM vinculados a las pérdidas en USD previas al hack. Un modelo de cascada de redención financiará los reclamos de NEOM, priorizando los activos de hacker recuperados, seguidos de inyecciones de capital externo como préstamos de liquidez e inversiones estratégicas.
Los pools de liquidez AMM inmediatos en los principales DEX de Sui ofrecen rutas de salida basadas en el mercado, con el trading de NEOM/USDC reflejando las expectativas de recuperación.
Crisis de seguridad DeFi más amplia
El hack de Nemo se suma a la crisis de seguridad DeFi de 2025, con $2.37 mil millones perdidos en 121 incidentes solo en el primer semestre. Septiembre ha demostrado ser especialmente destructivo, marcado por los ataques a la cadena de suministro npm y el colapso de la stablecoin Yala a $0.2074.
El atacante de YU creó 120 millones de tokens en Polygon, vendiendo 7.71 millones por 7.7 millones de USDC. Los activos robados de Nemo fueron lavados a través de Wormhole CCTP y agregados en Ethereum. Se están llevando a cabo auditorías de emergencia y coordinación con el exchange.
