22 апреля PANews сообщила, что компания по обеспечению безопасности Web3 GoPlus заявила на платформе X, что 16 апреля DeFi-проект R0AR (@th3r0ar) на Ethereum был украден на сумму около $780 000 из-за бэкдора контракта, и сегодня сторона проекта выпустила отчет об инциденте (в отчете указано, что средства были возвращены, но адрес и хэш транзакции пока не раскрываются). Это типичное событие бэкдора контракта, напоминающее пользователям о том, что нужно обратить внимание на бэкдор-контракт (0xBD2Cd7) и не взаимодействовать с контрактом.
Контракт (R0ARStakeing) оставляет бэкдор при развертывании, а вредоносный адрес (0x8149f) имеет в начале встроенную крупную сумму в размере $1R0R для вывода. Вредоносный адрес сначала выполняет небольшое количество deposit() и harvest(), чтобы подготовиться к выполнению вредоносного EmergencyWithdraw(). Согласно логике кода в контракте (как показано на рисунке ниже), поскольку rewardAmountr0arTokenBalance (баланс контракта), rewardAmount назначается в качестве баланса токенов в контракте, а затем все токены в контракте переводятся на вредоносный адрес (0x8149f), и аналогично все lpTokens в контракте LP Token также переводятся на вредоносный адрес. Наконец, присвойте userInfo.amount значение 0. userInfo в контракте является структурой Mapping, а его адрес — динамическим адресом, вычисляемым из хэша ключа userInfo (uid и msg.sender).
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Недавно проект DeFi R0AR был украден около 780 тысяч долларов из-за бэкдора в контракте.
22 апреля PANews сообщила, что компания по обеспечению безопасности Web3 GoPlus заявила на платформе X, что 16 апреля DeFi-проект R0AR (@th3r0ar) на Ethereum был украден на сумму около $780 000 из-за бэкдора контракта, и сегодня сторона проекта выпустила отчет об инциденте (в отчете указано, что средства были возвращены, но адрес и хэш транзакции пока не раскрываются). Это типичное событие бэкдора контракта, напоминающее пользователям о том, что нужно обратить внимание на бэкдор-контракт (0xBD2Cd7) и не взаимодействовать с контрактом. Контракт (R0ARStakeing) оставляет бэкдор при развертывании, а вредоносный адрес (0x8149f) имеет в начале встроенную крупную сумму в размере $1R0R для вывода. Вредоносный адрес сначала выполняет небольшое количество deposit() и harvest(), чтобы подготовиться к выполнению вредоносного EmergencyWithdraw(). Согласно логике кода в контракте (как показано на рисунке ниже), поскольку rewardAmountr0arTokenBalance (баланс контракта), rewardAmount назначается в качестве баланса токенов в контракте, а затем все токены в контракте переводятся на вредоносный адрес (0x8149f), и аналогично все lpTokens в контракте LP Token также переводятся на вредоносный адрес. Наконец, присвойте userInfo.amount значение 0. userInfo в контракте является структурой Mapping, а его адрес — динамическим адресом, вычисляемым из хэша ключа userInfo (uid и msg.sender).