NovaBoxの報酬プールが攻撃を受け、ハッカーが配分メカニズムの脆弱性を利用して56.73 ETHを盗んだ。

Bits.media の報道によると、NovaBox プラットフォームの報酬プールは 6 月 9 日にイーサリアム上でハッキングされ、約 56.73 ETH の損失が発生し、130 人以上の預金ユーザーが影響を受けました。攻撃者は一回の取引でプール内の資金を 65.11 ETH から 0.09 ETH まで消耗させ、約 99.86% を占めました。

セキュリティ会社 F12 は、この事件はスマートコントラクトの脆弱性からではなく、報酬配分メカニズムの欠陥によるものであると述べています。攻撃者は Aave V3 のフラッシュローンを利用して 427.5 WETH を借り、ユーザーが入出金する際に配当を先に支払い、その後残高を更新する NovaBox のメカニズムの脆弱性を利用しました。ハッカーは少量の NOVA トークンを預けて配当計算をトリガーし、その後大量の ETH を預けて実際の持分を大幅に増加させましたが、システムが残高を即時に更新しなかったため、以前の少額の持分に基づいて配当が計算され、新しい大額の持分に基づいて支払われることになり、約 145.82 ETH の「幻の配当」が発生し、報酬プールを枯渇させました。