Le projet DeFi R0AR a récemment été volé d'environ 780 000 dollars en raison d'une porte dérobée dans le contrat.

PANews a rapporté le 22 avril que la société de sécurité Web3 GoPlus a déclaré sur la plate-forme X que le 16 avril, le projet DeFi R0AR (@th3r0ar) sur Ethereum a été volé environ 780 000 $ en raison de la porte dérobée du contrat, et la partie du projet a publié un rapport d’incident aujourd’hui (le rapport indique que les fonds ont été récupérés, mais l’adresse et le hachage de la transaction n’ont pas encore été divulgués). Il s’agit d’un événement typique de porte dérobée de contrat, rappelant aux utilisateurs de prêter attention au contrat de porte dérobée (0xBD2Cd7) et de ne pas interagir avec le contrat. Le contrat (R0ARStaking) laisse une porte dérobée lorsqu’il est déployé, et l’adresse malveillante (0x8149f) a une grande quantité de $1R0R intégrée au début pour le retrait. L’adresse malveillante effectue d’abord une petite quantité de deposit() et harvest() pour préparer l’exécution de la fonction malveillante EmergencyWithdraw(). Selon la logique de code du contrat (comme indiqué dans la figure ci-dessous), étant donné que rewardAmountr0arTokenBalance (solde du contrat), rewardAmount est attribué en tant que solde de token dans le contrat, puis tous les tokens du contrat sont transférés à l’adresse malveillante (0x8149f), et de même, tous les lpTokens du contrat LP Token sont également transférés à l’adresse malveillante. Enfin, définissez userInfo.amount sur 0. L’userInfo dans le contrat est une structure de mappage, et son adresse est une adresse dynamique calculée à partir du hachage de la clé userInfo (uid et msg.sender).