Proyek DeFi R0AR baru-baru ini dicuri sekitar 78 ribu dolar AS karena pintu belakang kontrak.

PANews melaporkan pada 22 April bahwa perusahaan keamanan Web3 GoPlus mengatakan pada platform X bahwa pada 16 April, proyek DeFi R0AR (@th3r0ar) di Ethereum dicuri sekitar $780.000 karena pintu belakang kontrak, dan pihak proyek merilis laporan insiden hari ini (laporan menunjukkan bahwa dana telah dipulihkan, tetapi alamat dan hash transaksi belum diungkapkan). Ini adalah acara backdoor kontrak yang khas, mengingatkan pengguna untuk memperhatikan kontrak backdoor (0xBD2Cd7) dan tidak berinteraksi dengan kontrak. Kontrak (R0ARStaking) saat dideploy sudah meninggalkan pintu belakang, alamat jahat (0x8149f) sejak awal sudah dibekali dengan jumlah besar $1R0R yang dapat diambil. Alamat jahat terlebih dahulu melakukan deposit kecil () dan harvest (), dan mempersiapkan untuk melakukan EmergencyWithdraw() yang jahat. Berdasarkan logika kode dalam kontrak (seperti yang ditunjukkan pada gambar di bawah), karena rewardAmountr0arTokenBalance (saldo kontrak), rewardAmount diberikan nilai saldo token dalam kontrak, kemudian semua token dalam kontrak ditransfer ke alamat jahat (0x8149f), demikian juga, semua lpToken dalam kontrak LP Token juga ditransfer ke alamat jahat. Terakhir, userInfo.amount diatur menjadi 0. userInfo dalam kontrak adalah struktur Mapping, alamatnya dihitung melalui Hash key userInfo (uid dan msg.sender) yang dihasilkan dari alamat dinamis, dari sini dapat disimpulkan bahwa pintu belakang kali ini telah dihitung menggunakan alamat jahat sebelum kontrak dideploy.