鼓狮财经:备受关注的 NovaBox 平台突发重大安全事件,其以太坊主网的奖励池于 6 月 9 日遭遇精心策划的黑客攻击,导致巨额资金蒸发。根据权威媒体报道,攻击者仅通过一次精心设计的交易,便将池中资金从 65.11 ETH 狂泻至仅剩 0.09 ETH,资金流失率高达 99.86%。此次事件直接导致超过 130 名存款用户遭受损失,在加密货币社区引发了巨大震动。
针对此次攻击,安全机构 F12 进行了深入调查。他们明确指出,这并非源于智能合约本身的代码漏洞,而是奖励分配机制中存在的设计缺陷。这一发现为事件定性提供了关键线索,也揭示了底层逻辑存在的隐患。
攻击者利用了 NovaBox 平台在用户存取款时存在的逻辑漏洞,实施了复杂的套利策略。具体而言,他们首先通过 Aave V3 闪电贷借入价值 427.5 WETH 的资金,随后先存入少量 NOVA 代币以触发股息计算逻辑,紧接着存入巨额 ETH。由于 NovaBox 系统未能及时更新用户的实际份额余额,导致系统在计算应发股息时仍沿用旧有的小额份额作为基数,却按照新增的大额份额进行实际支付。这种机制性错配产生了约 145.82 ETH 的“幻影股息”,最终被黑客通过闪电贷套现,彻底抽干了奖励池。