Платформа NovaBox, работающая в сети Ethereum, подверглась атаке, в результате которой злоумышленники практически полностью опустошили пул вознаграждений проекта. По оценкам специалистов по блокчейн-безопасности, ущерб составил около 56,7 ETH, а последствия затронули более 130 пользователей.

По данным аналитиков, всего за одну транзакцию объем средств в пуле сократился почти до нуля — остаток составил менее 0,2% от первоначального объема. Исследование инцидента показало, что причиной стала не ошибка в смарт-контракте, а недостатки в механизме начисления и распределения наград.

Эксперты выяснили, что атакующие использовали крупный флэш-кредит, полученный через один из популярных DeFi-протоколов. Затем они провели серию операций, воспользовавшись особенностями расчета дивидендов внутри NovaBox. Алгоритм начисления вознаграждений позволял получать выплаты до полного обновления информации о доле участника в пуле.

Схема атаки заключалась в том, что злоумышленники сначала внесли небольшой депозит, инициировав расчет вознаграждений, а затем резко увеличили объем средств в системе. Из-за задержки обновления данных протокол использовал устаревшие значения при вычислении выплат, что привело к образованию искусственно завышенного дохода.

По оценке специалистов, таким образом был создан так называемый «фантомный дивиденд», позволивший вывести из системы значительный объем средств и практически полностью исчерпать резерв вознаграждений.

Случай с NovaBox стал очередным напоминанием о рисках в секторе децентрализованных финансов. По данным отраслевых аналитиков, с начала года потери DeFi-проектов от различных атак и эксплойтов уже исчисляются десятками миллионов долларов. Одной из основных причин подобных инцидентов остаются ошибки в логике работы протоколов и недостаточный аудит программного кода до запуска проектов.