Недавний инцидент с платформой NovaBox на блокчейне Эфириума вызвал значительное беспокойство в сообществе. В результате взлома злоумышленники практически полностью истощили пул вознаграждений, нанеся ущерб более 130 владельцам депозитов. В этой статье мы рассмотрим детали атаки, ее причины и последствия для пользователей.
1. Обстоятельства инцидента
Взлом и его масштабы
- Потери составили около 56,73 ETH.
- Пул вознаграждений был истощен на 99,86%, снизившись с 65,11 ETH до 0,09 ETH всего за одну транзакцию.
Методы атаки
- Злоумышленники использовали флэш-кредит в размере 427,5 WETH через протокол Aave V3.
- Атака была основана на уязвимости в механизме распределения дивидендов NovaBox.
2. Уязвимость механизма распределения
Особенности работы системы
- Dивиденды выплачиваются до обновления баланса клиента, что создает разрыв между реальной позицией пользователя и записанными итогами пула.
- Это позволяет злоумышленникам манипулировать системой, используя небольшие депозиты для запуска расчета дивидендов.
Пример атаки
- Хакеры внесли незначительную сумму в токенах NOVA для инициации процесса распределения вознаграждений.
- Затем они сделали крупный депозит в эфирах, увеличив свою долю в пуле без обновления баланса.
3. Последствия для сообщества и пользователей
Ущерб и его влияние
- В результате атаки было создано около 145,82 ETH «фантомных дивидендов», которые хакеры вывели из пула.
- С начала года зафиксировано похищение около $36,7 млн из пяти крупных DeFi-протоколов.
"Смарт-контракты остаются уязвимыми, особенно если их код не проходит публичную проверку," - отмечают аналитики компании Chainalysis.
4. Как защитить свои средства?
Рекомендации для пользователей:
- Проверяйте безопасность смарт-контрактов: Используйте только те платформы, чей код прошел аудит.
- Diversify your investments: Не вкладывайте все средства в один проект или пул вознаграждений.
"Безопасность ваших активов зависит от осведомленности и осторожности," - утверждают эксперты по блокчейн-безопасности.
Aтаку на NovaBox можно рассматривать как предупреждение о важности защиты средств и необходимости тщательного выбора платформ для инвестиций.
