novabox

ChainCatcher 消息，据 Bits.media 報導，NovaBox 平台的獎勵池於 6 月 9 日在以太坊上遭到黑客攻擊，損失約 56.73 枚 ETH，超過 130 名存款用戶受影響。攻擊者僅通過一筆交易就將池中資金從 65.11 ETH 耗盡至 0.09 ETH，占比約 99.86%。安全公司 F12 表示，此次事件並非源於智能合約漏洞，而是獎勵分配機制中的缺陷。攻擊者通過 Aave V3 閃電貸借入 427.5 WETH，利用 NovaBox 在用戶存取款時先發放股息後更新餘額的機制漏洞。黑客先存入少量 NOVA 代幣觸發股息計算，再存入大量 ETH 使實際份額大幅增加，但由於系統未及時更新餘額，仍按之前的小額份額計算股息，卻按新的大額份額進行支付，產生了約 145.82 ETH 的"幻影股息"，從而耗盡獎勵池。