据 Bits.media 称,NovaBox 在以太坊上的奖励池于 6 月 9 日因奖励分配机制的漏洞而被约 56.73 ETH 灌空,影响了超过 130 名存款人。一笔交易将资金池从 65.11 ETH 降至 0.09 ETH,损失达 99.86%。安全公司 F12 确认,此次攻击利用的是设计缺陷,而非智能合约漏洞。

攻击者通过 Aave V3 闪电贷借入 427.5 WETH,并利用了 NovaBox 系统中的时间差:先初始存入少量 NOVA 代币,然后再加入大量 ETH 时,协议基于过时的余额计算股息,同时按被放大的份额规模发放付款,生成了约 145.82 ETH 的“幽灵股息”,从而耗尽奖励池。