NovaBox 보상 풀 공격 당해, 해커가 분배 메커니즘의 취약점을 이용해 56.73 ETH를 훔침

Bits.media에 따르면, NovaBox 플랫폼의 보상 풀은 6월 9일 이더리움에서 해킹을 당해 약 56.73 ETH의 손실을 입었으며, 130명 이상의 예치 사용자에게 영향을 미쳤습니다. 공격자는 단 한 번의 거래로 풀의 자금을 65.11 ETH에서 0.09 ETH로 소진시켰으며, 이는 약 99.86%에 해당합니다.

보안 회사 F12는 이번 사건이 스마트 계약의 취약점에서 비롯된 것이 아니라 보상 분배 메커니즘의 결함이라고 밝혔습니다. 공격자는 Aave V3의 플래시 론을 통해 427.5 WETH를 빌린 후, NovaBox가 사용자 입출금 시 먼저 배당금을 지급한 후 잔액을 업데이트하는 메커니즘의 취약점을 이용했습니다. 해커는 먼저 소량의 NOVA 토큰을 예치하여 배당금 계산을 트리거한 후, 대량의 ETH를 예치하여 실제 지분을 대폭 증가시켰습니다. 그러나 시스템이 잔액을 즉시 업데이트하지 않아 이전의 소액 지분에 따라 배당금을 계산했지만 새로운 대량 지분에 따라 지급되어 약 145.82 ETH의 "환상 배당금"이 발생하여 보상 풀이 소진되었습니다.