PANewsは6月11日、Bits.mediaによると、NovaBoxプラットフォームの報酬プールが6月9日にイーサリアム上でハッキングされ、約56.73 ETHが失われ、130人以上の預金者が影響を受けたと報じた。攻撃者は1回の取引でプールの残高を65.11 ETHから0.09 ETHまで引き抜き、これは総額の約99.86%に相当する。セキュリティ企業F12は、この事件はスマートコントラクトの脆弱性によるものではなく、報酬分配メカニズムの欠陥によるものだと述べた。

攻撃者は、Aave V3フラッシュローンを通じて427.5 WETHを借り入れ、NovaBoxの仕組みにある脆弱性を悪用しました。この脆弱性とは、ユーザーの入出金時に残高が更新される前に配当金が支払われるというものです。ハッカーはまず少額のNOVAトークンを入金して配当金の計算を開始させ、次に多額のETHを入金して実際の配当額を大幅に増やしました。しかし、システムが残高を時間内に更新できなかったため、配当金は以前の少額の配当額に基づいて計算されたまま、新しい多額の配当額に基づいて支払われ、結果として約145.82 ETHの「架空の配当金」が発生し、報酬プールが枯渇しました。