Неизвестные взломали и почти полностью опустошили пул вознаграждений платформы NovaBox на блокчейне Эфириума. Потери составили около 56,73 ETH и затронули более 130 владельцев депозитов, выяснили специалисты по блокчейн-безопасности компании F12.
Злоумышленники истощили пул примерно на 99,86% — с 65,11 ETH до 0,09 ETH — всего лишь за одну транзакцию. Как утверждает команда F12, инцидент произошел не из‑за уязвимости смарт‑контракта, а из‑за слабых мест в механизме распределения вознаграждений.
По версии экспертов, атакующие взяли флэш‑кредит в размере 427,5 WETH через Aave V3, а затем воспользовались особенностями расчета дивидендных вознаграждений NovaBox при внесении и выводе средств. Система устроена так, что выплачивает дивиденды до того, как обновит баланс доли клиента. Это создает разрыв между записанными итогами пула и реальной позицией пользователя.
Хакеры внесли небольшую сумму в токенах NOVA. Это запустило процесс расчета дивидендов. Сразу после неизвестные отправили крупную сумму в эфирах в тот же протокол. Теперь его реальная доля в пуле резко выросла. Однако NovaBox не успел обновить баланс доли хакеров с учетом нового крупного депозита и рассчитал дивиденды по старому балансу, то есть когда доля была маленькой. Однако выплата была применена к новому, большому, размеру доли.
Эта уязвимость фактически создала «фантомный дивиденд» объемом около 145,82 ETH, позволив злоумышленникам извлечь средства из пула вознаграждений, рассказали специалисты F12.
С начала года злоумышленники украли около $36,7 млн из пяти крупных протоколов децентрализованных финансов (DeFi). Причина — уязвимости смарт-контрактов, чей исходный код никогда не проходил публичную проверку, сообщили аналитики компании Chainalysis.
Хакеры почти полностью опустошили пул вознаграждений NovaBox