O projeto DeFi R0AR apresentou uma backdoor no seu contrato Ethereum, resultando no roubo de aproximadamente 780 mil USD. O incidente ocorreu em 16 de abril, e a empresa de segurança Web3 GoPlus divulgou-o na plataforma X em 22 de abril. Segundo o relatório do acidente divulgado pela equipe do projeto, os fundos foram recuperados, mas os endereços relacionados e os hashes das transações ainda não foram tornados públicos. O atacante explorou o endereço backdoor presente durante o deployment do contrato, executando uma função maliciosa EmergencyWithdraw(), transferindo todos os tokens e tokens LP do contrato, e, finalmente, zerando os montantes nas informações dos usuários. Este incidente serve como um alerta para os usuários ficarem atentos a contratos com backdoor (endereço 0xBD2Cd7) e evitarem interagir com eles.

O PANews reportou em 22 de abril que a empresa de segurança Web3 GoPlus afirmou na plataforma X que, em 16 de abril, o projeto DeFi R0AR (@th3r0ar) na Ethereum teve cerca de US$ 780 mil roubados devido a uma backdoor no contrato. O projeto divulgou um relatório de incidente hoje (o relatório indicou que os fundos foram recuperados, mas o endereço e o hash da transação ainda não foram tornados públicos). Este é um incidente típico de backdoor em contrato, alertando os usuários para terem cuidado para evitar o contrato backdoor (0xBD2Cd7) e não interagirem com ele.

O contrato (R0ARStaking) foi comprometido com backdoor no momento da implantação. O endereço malicioso (0x8149f) possuía uma grande quantidade de $1R0R incorporada para retirada desde o início. O endereço malicioso realizou inicialmente pequenas operações de deposit() e harvest(), preparando-se para executar a maliciosa EmergencyWithdraw(). De acordo com a lógica do código no contrato (conforme ilustrado na figura abaixo), devido a rewardAmount > r0arTokenBalance (saldo do contrato), rewardAmount foi atribuído ao saldo do token no contrato, e então todos os tokens no contrato foram transferidos para o endereço malicioso (0x8149f). Da mesma forma, todos os lpTokens no contrato LP Token também foram transferidos para o endereço malicioso. Por fim, userInfo.amount foi definido como 0. O userInfo no contrato é uma estrutura Mapping, e seu endereço é um endereço dinâmico calculado pelo Hash da chave (uid e msg.sender) do userInfo. Pode-se inferir que a backdoor foi calculada utilizando o endereço malicioso antes da implantação do contrato.

Backdoor no contrato Ethereum do projeto DeFi R0AR levou ao roubo de 780 mil dólares, fundos foram recuperados