PANews 22 квітня повідомляє, що компанія з безпеки Web3 GoPlus на платформі X повідомила, що 16 квітня, через бекдор контракту, DeFi проєкт R0AR (@th3r0ar) на Ethereum був вкрадений приблизно на 780 тисяч доларів. Вечірка проєкту сьогодні опублікувала звіт про подію (у звіті зазначається, що кошти були повернуті, але адреса та хеш транзакції ще не оприлюднені). Це типовий випадок бекдору контракту, що нагадує користувачам про необхідність обережності з бекдор контрактами (0xBD2Cd7) і не взаємодіяти з цим контрактом.
Контракт (R0ARStaking) при розгортанні залишив задню дверку, зловмисна адреса (0x8149f) спочатку мала вбудовану велику суму $1R0R для вилучення. Зловмисна адреса спочатку виконала невеликий deposit() та harvest(), і підготувалася до виконання зловмисного EmergencyWithdraw(). Згідно з логікою коду в контракті (див. малюнок нижче), оскільки rewardAmountr0arTokenBalance (баланс контракту), rewardAmount було присвоєно значення балансу токенів у контракті, а потім всі токени з контракту були передані зловмисній адресі (0x8149f), аналогічно всі lpToken з LP Token контракту також були передані зловмисній адресі. Нарешті, userInfo.amount було встановлено на 0. userInfo в контракті є структурою Mapping, адреса якої обчислюється через Hash ключа userInfo (uid та msg.sender), з цього можна зробити висновок, що ця задня дверка була обчислена за зловмисною адресою ще до розгортання контракту.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Проект DeFi R0AR нещодавно втратив близько 780 тисяч доларів через злом за допомогою бекдору в контракті.
PANews 22 квітня повідомляє, що компанія з безпеки Web3 GoPlus на платформі X повідомила, що 16 квітня, через бекдор контракту, DeFi проєкт R0AR (@th3r0ar) на Ethereum був вкрадений приблизно на 780 тисяч доларів. Вечірка проєкту сьогодні опублікувала звіт про подію (у звіті зазначається, що кошти були повернуті, але адреса та хеш транзакції ще не оприлюднені). Це типовий випадок бекдору контракту, що нагадує користувачам про необхідність обережності з бекдор контрактами (0xBD2Cd7) і не взаємодіяти з цим контрактом. Контракт (R0ARStaking) при розгортанні залишив задню дверку, зловмисна адреса (0x8149f) спочатку мала вбудовану велику суму $1R0R для вилучення. Зловмисна адреса спочатку виконала невеликий deposit() та harvest(), і підготувалася до виконання зловмисного EmergencyWithdraw(). Згідно з логікою коду в контракті (див. малюнок нижче), оскільки rewardAmountr0arTokenBalance (баланс контракту), rewardAmount було присвоєно значення балансу токенів у контракті, а потім всі токени з контракту були передані зловмисній адресі (0x8149f), аналогічно всі lpToken з LP Token контракту також були передані зловмисній адресі. Нарешті, userInfo.amount було встановлено на 0. userInfo в контракті є структурою Mapping, адреса якої обчислюється через Hash ключа userInfo (uid та msg.sender), з цього можна зробити висновок, що ця задня дверка була обчислена за зловмисною адресою ще до розгортання контракту.