PANews 4月22日消息,Web3安全公司GoPlus在X平台表示,4月16日,以太坊上的DeFi專案R0AR(@th3r0ar)因合約後門,被盜約78萬美元,專案方於今天發布了事件報告(報告中表明資金已追回,但尚未公開地址和交易hash)。這是典型的合約後門事件,提醒使用者請注意防範後門合約(0xBD2Cd7),不要與該合約進行任何互動。
合約(R0ARStaking)在部署的時候就留了後門,惡意地址(0x8149f)一開始就內建了大額的$1R0R可供提取。惡意地址先進行了小額的deposit()和harvest(),並為執行惡意EmergencyWithdraw()做準備。根據合約中代碼邏輯(如下圖所示),因為rewardAmount>r0arTokenBalance(合約餘額), 所以rewardAmount被賦值為合約中代幣餘額,然後將合約中全部代幣轉給了惡意地址(0x8149f), 同理,將LP Token合約中的全部惡意地址也轉給了惡意地址。 最後再將userInfo.amount設定為0。合約中的userInfo是一個Mapping結構,其位址是透過userInfo 的key(uid和msg.sender) Hash計算出來的動態位址,由此推斷,此次後門是合約部署前就使用惡意位址計算出來的。
