Хакеры почти полностью опустошили пул вознаграждений NovaBox

Неизвестные взломали и почти полностью опустошили пул вознаграждений платформы NovaBox на блокчейне Эфириума. По подсчетам специалистов по блокчейн-безопасности компании F12, потери составили около 56,73 $ETH и затронули более 130 владельцев депозитов.

Злоумышленники истощили пул примерно на 99,86% — с 65,11 $ETH до 0,09 $ETH — всего лишь за одну транзакцию. Как утверждает команда F12, инцидент произошел не из‑за уязвимости смарт‑контракта, а из‑за слабых мест в механизме распределения вознаграждений.

По версии экспертов, атакующие взяли флэш‑кредит в размере 427,5 WETH через Aave V3, а затем воспользовались особенностями расчета дивидендных вознаграждений NovaBox при внесении и выводе средств. Система устроена так, что выплачивает дивиденды до того, как обновит баланс доли клиента. Это создает разрыв между записанными итогами пула и реальной позицией пользователя.

Хакеры внесли небольшую сумму в токенах NOVA. Это запустило процесс расчета дивидендов. Сразу после неизвестные отправили крупную сумму в эфирах в тот же протокол. Теперь его реальная доля в пуле резко выросла. Однако NovaBox не успел обновить баланс доли хакеров с учетом нового крупного депозита и рассчитал дивиденды по старому балансу, то есть когда доля была маленькой. Однако выплата была применена к новому, большому, размеру доли.

Эта уязвимость фактически создала «фантомный дивиденд» объемом около 145,82 $ETH, позволив злоумышленникам извлечь средства из пула вознаграждений, рассказали специалисты F12.

С начала года злоумышленники украли около $36,7 млн из пяти крупных протоколов децентрализованных финансов (DeFi). Причина — уязвимости смарт-контрактов, чей исходный код никогда не проходил публичную проверку, сообщили аналитики компании Chainalysis.

Источник