مشروع التمويل اللامركزي R0AR تعرض مؤخراً لسرقة حوالي 78,000 دولار بسبب ثغرة في العقد.

PANews 22 أبريل ، أعلنت شركة GoPlus للأمان Web3 على منصة X أنه في 16 أبريل ، تم سرقة حوالي 780،000 دولار من مشروع DeFi R0AR ( @th3r0ar ) على إثيريوم بسبب ثغرة في العقد. وقد أصدر فريق المشروع اليوم تقريراً عن الحادث (يشير التقرير إلى أن الأموال قد تم استردادها ، لكن لم يتم الكشف عن العنوان وhash المعاملة بعد). هذه حالة نموذجية لثغرة في العقد ، تذكّر المستخدمين بضرورة الحذر من عقود الثغرات (0xBD2Cd7) وعدم التفاعل مع هذا العقد. عند نشر العقد (R0ARStaking) تركت ثغرة، حيث تم تضمين عنوان خبيث (0x8149f) من البداية مع مبلغ كبير من $1R0R للاستخراج. بدأ العنوان الخبيث بإجراء إيداع صغير () و حصاد ()، واستعد لتنفيذ عملية السحب الطارئة الخبيثة (). وفقًا لمنطق الشيفرة في العقد (كما هو موضح في الصورة أدناه)، نظرًا لمبلغ المكافأة r0arTokenBalance (رصيد العقد)، تم تعيين مبلغ المكافأة إلى رصيد الرموز في العقد، ثم تم تحويل جميع الرموز في العقد إلى العنوان الخبيث (0x8149f)، وبالمثل، تم تحويل جميع lpToken من عقد LP Token إلى العنوان الخبيث. وأخيرًا، تم تعيين userInfo.amount إلى 0. userInfo في العقد هو هيكل Mapping، حيث يتم حساب عنوانه من خلال مفتاح userInfo (uid و msg.sender) باستخدام خوارزمية هاش، ومن هنا نستنتج أن هذه الثغرة تم حسابها باستخدام العنوان الخبيث قبل نشر العقد.