bits.media
Злоумышленники истощили пул примерно на 99,86% — с 65,11 $ETH до 0,09 $ETH — всего лишь за одну транзакцию. Как утверждает команда F12, инцидент произошел не из‑за уязвимости смарт‑контракта, а из‑за слабых мест в механизме распределения вознаграждений.
По версии экспертов, атакующие взяли флэш‑кредит в размере 427,5 WETH через Aave V3, а затем воспользовались особенностями расчета дивидендных вознаграждений NovaBox при внесении и выводе средств. Система устроена так, что выплачивает дивиденды до того, как обновит баланс доли клиента. Это создает разрыв между записанными итогами пула и реальной позицией пользователя.
Хакеры внесли небольшую сумму в токенах NOVA. Это запустило процесс расчета дивидендов. Сразу после неизвестные отправили крупную сумму в эфирах в тот же протокол. Теперь его реальная доля в пуле резко выросла. Однако NovaBox не успел обновить баланс доли хакеров с учетом нового крупного депозита и рассчитал дивиденды по старому балансу, то есть когда доля была маленькой. Однако выплата была применена к новому, большому, размеру доли.
Эта уязвимость фактически создала «фантомный дивиденд» объемом около 145,82 $ETH, позволив злоумышленникам извлечь средства из пула вознаграждений, рассказали специалисты F12.
С начала года злоумышленники украли около $36,7 млн из пяти крупных протоколов децентрализованных финансов (DeFi). Причина — уязвимости смарт-контрактов, чей исходный код никогда не проходил публичную проверку, сообщили аналитики компании Chainalysis.