PANews는 6월 11일 Bits.media의 보도를 인용하여, NovaBox 플랫폼의 보상 풀이 6월 9일 이더리움에서 해킹당해 약 56.73 ETH가 손실되었으며, 130명 이상의 예치자가 피해를 입었다고 보도했습니다. 공격자들은 단 한 번의 거래로 보상 풀의 금액을 65.11 ETH에서 0.09 ETH로 줄여 전체의 약 99.86%를 빼돌렸습니다. 보안 회사 F12는 이번 사건이 스마트 계약의 취약점 때문이 아니라 보상 분배 메커니즘의 결함 때문이라고 밝혔습니다.

공격자는 Aave V3 플래시론을 통해 427.5 WETH를 차입했는데, 이는 사용자의 입출금 시 잔액이 업데이트되기 전에 배당금이 지급되는 NovaBox 메커니즘의 취약점을 악용한 것입니다. 해커는 먼저 소량의 NOVA 토큰을 입금하여 배당금 계산을 유도한 후, 대량의 ETH를 입금하여 실제 배당금 지분을 크게 늘렸습니다. 그러나 시스템이 잔액을 제때 업데이트하지 못했기 때문에 배당금은 여전히 ​​이전의 소량 지분을 기준으로 계산되었지만, 실제 지급액은 새로운 대량 지분을 기준으로 지급되어 약 145.82 ETH의 "가상 배당금"이 발생했고, 결과적으로 보상 풀이 고갈되었습니다.