Das DeFi-Protokoll Nemo erlitt am 7. September 2025 einen Hack, bei dem etwa 2,59 Millionen US-Dollar entwendet wurden. Ursache war nicht geprüfter Code, der unter Single-Signatur-Kontrolle eingesetzt wurde. Der Vorfall unterstreicht die Sicherheitsrisiken im DeFi-Bereich.
Der Exploit nutzte zwei Hauptschwachstellen im Code aus. Eine interne Flash-Loan-Funktion war versehentlich öffentlich zugänglich. Zudem ermöglichte ein Fehler in einer Abfragefunktion unbefugte Zustandsänderungen.
Die Schwachstellen wurden bereits im Januar 2023 in den Code eingeführt. Das Protokoll hatte zuvor einen Audit-Bericht von der Blockchain-Sicherheitsfirma MoveBit erhalten. Trotz Warnungen integrierte ein Nemo-Entwickler neue, nicht geprüfte Funktionen in die Codebasis.
Trotz einer Sicherheitswarnung von Asymptotic im August, die eine separate Schwachstelle betraf, wurden keine sofortigen Maßnahmen ergriffen.
Der Angreifer nutzte die Kombination aus der Flash-Loan-Funktion und der Schwachstelle in der Abfragefunktion, um den internen Zustand des Vertrags zu manipulieren. Dies ermöglichte das unbefugte Abziehen von Vermögenswerten aus dem SY/PT-Liquiditätspool.
Die gestohlenen Gelder wurden über die Wormhole CCTP-Brücke vom Sui-Netzwerk zu Ethereum verschoben.
Nemo Protocol hat seine Kernfunktionen pausiert, um weiteren Schaden zu verhindern. Das Team arbeitet an der Entschädigung der betroffenen Nutzer. Vor dem Exploit hatte Nemo über 6 Millionen US-Dollar in Total Value Locked (TVL). Nach dem Hack sank der TVL auf 1,53 Millionen US-Dollar.
Der Nemo-Hack reiht sich in eine Serie von DeFi-Exploits ein, darunter Vorfälle bei Venus Protocol und Bunni DEX. Im Mai 2025 verlor Cetus Protocol 223 Millionen US-Dollar.
