DeFi項目R0AR近日因合約後門被盜約78萬美元

PANews 4月22日消息，Web3安全公司GoPlus在X平台表示，4月16日，以太坊上的DeFi項目R0AR（@th3r0ar）因合約後門，被盜約78萬美元，項目方於今天發布了事件報告（報告中表明資金已追回，但尚未公開地址和交易hash）。這是一次典型的合約後門事件，提醒用戶請注意防範後門合約（0xBD2Cd7），不要與該合約進行任何交互。 合約（R0ARStaking）在部署的時候就留了後門，惡意地址（0x8149f）一開始就內置了大額的$1R0R可供提取。惡意地址先進行了小額的deposit（）和harvest（），並爲執行惡意EmergencyWithdraw（）做準備。根據合約中代碼邏輯（如下圖所示），因爲rewardAmountr0arTokenBalance（合約餘額）, 所以rewardAmount被賦值爲合約中代幣餘額，然後將合約中全部代幣轉給了惡意地址（0x8149f）， 同理，將LP Token合約中的全部lpToken也轉給了惡意地址。 最後再將userInfo.amount設置爲0。合約中的userInfo是一個Mapping結構，其地址是通過userInfo 的key（uid和msg.sender） Hash計算出來的動態地址，由此推斷，此次後門是合約部署前就使用惡意地址計算出來的。