De acordo com a PANews, a empresa de segurança Web3 GoPlus relatou na plataforma X que o projeto DeFi baseado em Ethereum R0AR sofreu uma violação de segurança em 16 de abril, resultando em um roubo de aproximadamente US$ 780.000. O incidente foi atribuído a um backdoor no contrato do projeto. A equipe do projeto divulgou um relatório de incidente hoje, afirmando que os fundos roubados foram recuperados, embora os endereços e hashes de transação ainda não tenham sido divulgados. Este incidente serve como um lembrete para os usuários serem cautelosos com contratos backdoor, alertando especificamente contra a interação com o contrato 0xBD2Cd7.
Foi descoberto que o contrato R0ARStaking possuía um backdoor desde o momento de sua implantação. Um endereço malicioso, 0x8149f, foi pré-configurado com uma quantidade significativa de tokens de US$ 1R0R disponíveis para extração. O invasor inicialmente realizou pequenas transações deposit() e harvest() para se preparar para uma operação maliciosa EmergencyWithdraw(). De acordo com a lógica do código do contrato, como o rewardAmount excedia o r0arTokenBalance (o saldo do contrato), o rewardAmount foi definido como o saldo de tokens do contrato. Consequentemente, todos os tokens dentro do contrato foram transferidos para o endereço malicioso 0x8149f. Da mesma forma, todos os tokens LP do contrato de tokens LP também foram transferidos para o mesmo endereço. Por fim, o userInfo.amount foi definido como zero. O userInfo no contrato é uma estrutura de mapeamento, com seu endereço calculado dinamicamente usando o hash da chave (uid e msg.sender). Isso sugere que o backdoor foi premeditado, com o endereço malicioso calculado antes da implantação do contrato.
