ChainCatcher melaporkan, menurut Bits.media, kolam hadiah platform NovaBox diserang pada 9 Juni di Ethereum, dengan kerugian sekitar 56,73 ETH, memengaruhi lebih dari 130 pengguna yang menyetor. Penyerang hanya melalui satu transaksi mengosongkan dana kolam dari 65,11 ETH menjadi 0,09 ETH, atau sekitar 99,86%. Perusahaan keamanan F12 menyatakan insiden ini bukan disebabkan oleh kerentanan kontrak pintar, melainkan kelemahan dalam mekanisme distribusi hadiah. Penyerang meminjam 427,5 WETH melalui flash loan Aave V3, memanfaatkan celah dalam mekanisme NovaBox yang membayarkan dividen sebelum memperbarui saldo saat pengguna menyetor atau menarik dana. Penyerang terlebih dahulu menyetor sejumlah kecil token NOVA untuk memicu perhitungan dividen, lalu menyetor sejumlah besar ETH yang secara signifikan meningkatkan porsi aktual mereka. Namun, karena sistem belum memperbarui saldo secara tepat waktu, dividen tetap dihitung berdasarkan porsi kecil sebelumnya, tetapi dibayarkan berdasarkan porsi besar yang baru, menghasilkan "dividen ilusif" sekitar 145,82 ETH, yang mengosongkan kolam hadiah.
Peretas Mengeksploitasi Mekanisme Reward Pool NovaBox, Mencuri 56,73 ETH
ChaincatcherBagikan
Ringkasan
Peretas mengeksploitasi kelemahan dalam mekanisme distribusi hadiah NovaBox, menguras 56,73 ETH dari pool berbasis Ethereum pada 9 Juni. Pelaku menggunakan flash loan 427,5 WETH dari Aave V3 untuk memanipulasi mekanisme konsensus, memicu dividen semu sebesar 145,82 ETH. Dengan melakukan setoran sejumlah kecil token NOVA dan kemudian setoran ETH besar, pelaku memanfaatkan keterlambatan pembaruan saldo. Pool tersebut dikosongkan dari 65,11 ETH menjadi 0,09 ETH dalam satu transaksi, kerugian 99,86%. Lebih dari 130 pengguna terdampak. Perusahaan keamanan F12 mengonfirmasi tidak ada kerentanan kontrak pintar yang terlibat, tetapi eksploitasi jembatan dalam logika hadiah.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.