ChainCatcher relata, segundo o Bits.media, que o pool de recompensas da plataforma NovaBox foi hackeado na Ethereum em 9 de junho, resultando em perda de aproximadamente 56,73 ETH e afetando mais de 130 usuários que depositaram. O atacante esgotou os fundos do pool de 65,11 ETH para 0,09 ETH em apenas uma transação, representando cerca de 99,86%. A empresa de segurança F12 afirmou que o incidente não foi causado por uma vulnerabilidade no contrato inteligente, mas sim por uma falha no mecanismo de distribuição de recompensas. O atacante emprestou 427,5 WETH por meio de um flash loan na Aave V3, explorando uma vulnerabilidade no mecanismo da NovaBox, que paga dividendos antes de atualizar os saldos dos usuários durante depósitos e saques. O hacker primeiro depositou uma pequena quantidade de tokens NOVA para acionar o cálculo dos dividendos, depois depositou uma grande quantidade de ETH, aumentando significativamente sua participação real. Contudo, como o sistema ainda não havia atualizado o saldo, os dividendos foram calculados com base na participação anterior menor, mas pagos com base na nova participação maior, gerando aproximadamente 145,82 ETH em "dividendos fantasma", esgotando assim o pool de recompensas.
Hackers exploram o mecanismo do pool de recompensas da NovaBox, roubando 56,73 ETH
ChaincatcherCompartilhar
Resumo
Hackers exploraram uma falha no mecanismo de distribuição de recompensas da NovaBox, drenando 56,73 ETH do pool baseado em Ethereum em 9 de junho. O atacante utilizou um flash loan de 427,5 WETH do Aave V3 para manipular o mecanismo de consenso, desencadeando um dividendo fantasma de 145,82 ETH. Ao depositar uma pequena quantia de tokens NOVA e, em seguida, um grande depósito em ETH, o atacante explorou o atraso nas atualizações de saldo. O pool foi drenado de 65,11 ETH para 0,09 ETH em uma única transação, resultando em uma perda de 99,86%. Mais de 130 usuários foram afetados. A empresa de segurança F12 confirmou que nenhuma vulnerabilidade no contrato inteligente estava envolvida, mas sim uma exploração na ponte da lógica de recompensas.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.