NovaBox зазнав атаки: витік 56,73 ETH з пулу винагород

Невідомі зловмисники скоїли успішну атаку на платформу NovaBox, що працює на блокчейні Ethereum, вичерпавши майже 99,86% її пулу винагород. Згідно з даними фахівців з блокчейн-безпеки компанії F12, інцидент призвів до втрати приблизно 56,73 ETH (близько 170 000 – 200 000 ₴ за поточним курсом), що торкнулося понад 130 користувачів, які внесли свої кошти.

Механізм атаки: не вразливість, а особливість розрахунків

Зазначається, що зловмисники зуміли вивести кошти всього за одну транзакцію, зменшивши залишок у пулі з 65,11 ETH до жалюгідних 0,09 ETH. Команда F12 наголошує, що атака не була спричинена вразливістю в самому смарт-контракті, а скоріше знайшла слабкі місця в алгоритмі розподілу винагород платформи.

За версією експертів, зловмисники спершу отримали флеш-кредит у розмірі 427,5 WETH через децентралізовану біржу Aave V3. Далі вони скористалися специфікою розрахунку дивідендів NovaBox під час внесення та виведення коштів. Суть уразливості полягає в тому, що система нараховує дивіденди перед оновленням балансу частки клієнта. Це створює часовий розрив між зафіксованими показниками пулу та реальною позицією користувача.

Зловмисники внесли невелику кількість токенів NOVA, що ініціювало процес розрахунку дивідендів. Одразу після цього вони переказали значну суму ефіріуму до того ж протоколу. В результаті їхня реальна частка в пулі різко зросла. Однак NovaBox не встиг оновити баланс частки хакерів з урахуванням нового депозиту, тому розрахував дивіденди за старою, меншою часткою. Але виплата була застосована вже до нової, значно більшої частки.

Цей механізм дозволив створити так званий “фантомний дивіденд” обсягом приблизно 145,82 ETH, чим і скористалися хакери для виведення коштів з пулу винагород, як повідомили фахівці F12.

Загальна картина DeFi-інцидентів

Загалом, з початку поточного року зловмисники вже викрали приблизно 36,7 мільйона доларів США (близько 1,35 мільярда ₴) з п’яти великих протоколів децентралізованих фінансів (DeFi). Головною причиною таких втрат аналітики компанії Chainalysis називають вразливості смарт-контрактів, вихідний код яких ніколи не проходив публічну перевірку.

• NovaBox: український ринок не охоплений прямими сервісами NovaBox, але доступ до платформи можливий через мережу Ethereum.
• Aave V3: популярний протокол кредитування, доступний для користувачів по всьому світу, включаючи Україну.

Порада від Business News:

Ця новина є важливим нагадуванням для всіх учасників DeFi-простору про необхідність ретельної перевірки смарт-контрактів та механізмів розподілу винагород. Навіть платформа, яка здається надійною, може мати неочевидні слабкі місця. Інвесторам варто звертати увагу на проекти з прозорим кодом та ретельною безпековою перевіркою, а розробникам — приділяти максимальну увагу тестуванню та аудиту своїх рішень.

За матеріалами: cryptocurrency.tech