Хакеры почти полностью опустошили пул вознаграждений NovaBox

[alex12]

Злоумышленники истощили пул примерно на 99,86% — с 65,11 ETH до 0,09 ETH — всего лишь за одну транзакцию. Как утверждает команда F12, инцидент произошел не из‑за уязвимости смарт‑контракта, а из‑за слабых мест в механизме распределения вознаграждений.

По версии экспертов, атакующие взяли флэш‑кредит в размере 427,5 WETH через Aave V3, а затем воспользовались особенностями расчета дивидендных вознаграждений NovaBox при внесении и выводе средств. Система устроена так, что выплачивает дивиденды до того, как обновит баланс доли клиента. Это создает разрыв между записанными итогами пула и реальной позицией пользователя.

Хакеры внесли небольшую сумму в токенах NOVA. Это запустило процесс расчета дивидендов. Сразу после неизвестные отправили крупную сумму в эфирах в тот же протокол. Теперь его реальная доля в пуле резко выросла. Однако NovaBox не успел обновить баланс доли хакеров с учетом нового крупного депозита и рассчитал дивиденды по старому балансу, то есть когда доля была маленькой. Однако выплата была применена к новому, большому, размеру доли.

Эта уязвимость фактически создала «фантомный дивиденд» объемом около 145,82 ETH, позволив злоумышленникам извлечь средства из пула вознаграждений, рассказали специалисты F12.