DeFi项目R0AR近日因合约后门被盗约78万美元
PANews4月22日消息,Web3安全公司GoPlus在X平台表示,4月16日,以太坊上的DeFi项目R0AR(@th3r0ar)因合约后门,被盗约78万美元,项目方于今天发布了事件报告(报告中表明资金已追回,但尚未公开地址和交易hash)。这是一次典型的合约后门事件,提醒用户请注意防范后门合约(0xBD2Cd7),不要与该合约进行任何交互。
合约(R0ARStaking)在部署的时候就留了后门,恶意地址(0x8149f)一开始就内置了大额的$1R0R可供提取。恶意地址先进行了小额的deposit()和harvest(),并为执行恶意EmergencyWithdraw()做准备。根据合约中代码逻辑(如下图所示),因为rewardAmount>r0arTokenBalance(合约余额),所以rewardAmount被赋值为合约中代币余额,然后将合约中全部代币转给了恶意地址(0x8149f),同理,将LPToken合约中的全部lpToken也转给了恶意地址。最后再将userInfo.amount设置为0。合约中的userInfo是一个Mapping结构,其地址是通过userInfo的key(uid和msg.sender)Hash计算出来的动态地址,由此推断,此次后门是合约部署前就使用恶意地址计算出来的。
