DeFi projesi R0AR'ın Ethereum sözleşmesinde bir arka kapı bulundu ve bu durum yaklaşık 780 bin USD tutarında bir hırsızlığa yol açtı. Olay 16 Nisan'da gerçekleşti ve Web3 güvenlik şirketi GoPlus, bunu 22 Nisan'da X platformunda açıkladı. Proje ekibinin yayımladığı kaza raporuna göre, fonlar geri alındı ancak ilgili adresler ve işlem hash'leri henüz kamuoyuna duyurulmadı. Saldırgan, sözleşme dağıtımı sırasında mevcut olan arka kapı adresini kullanarak kötü niyetli EmergencyWithdraw() fonksiyonunu çalıştırdı, sözleşmeden tüm tokenlar ve LP tokenlarını transfer etti ve sonunda kullanıcı bilgileri içindeki tutarları sıfırladı. Bu olay, kullanıcıların arka kapılı sözleşmelere (adres 0xBD2Cd7) karşı dikkatli olmaları ve bu tür sözleşmelerle etkileşimde bulunmaktan kaçınmaları gerektiğini hatırlatmaktadır.

PANews, 22 Nisan'da Web3 güvenlik şirketi GoPlus'ın X platformunda yaptığı açıklamaya göre, 16 Nisan'da Ethereum üzerindeki DeFi projesi R0AR (@th3r0ar) sözleşme arka kapısı nedeniyle yaklaşık 780 bin dolar tutarında hırsızlığa uğradığını bildirdi. Proje bugün bir olay raporu yayımladı (raporda fonların geri alındığı belirtiliyor ancak adres ve işlem hash'i henüz kamuoyuna açıklanmadı). Bu, tipik bir sözleşme arka kapısı olayıdır ve kullanıcıların arka kapı sözleşmesi (0xBD2Cd7) konusunda dikkatli olmaları ve bu sözleşmeyle etkileşime girmemeleri gerektiğini hatırlatır.

Sözleşme (R0ARStaking) dağıtıldığı anda arka kapıya sahipti. Kötü niyetli adres (0x8149f), baştan itibaren büyük miktarda çekim için $1R0R tokeni içeriyordu. Kötü niyetli adres önce küçük miktarlarda deposit() ve harvest() işlemleri yaptı ve ardından kötü niyetli EmergencyWithdraw() işlemini gerçekleştirmeye hazırlandı. Sözleşmedeki kod mantığına göre (aşağıdaki şekilde gösterildiği gibi), rewardAmount > r0arTokenBalance (sözleşme bakiyesi) olduğundan, rewardAmount sözleşmedeki token bakiyesi olarak atanıyor ve ardından sözleşmedeki tüm tokenler kötü niyetli adrese (0x8149f) aktarılıyordu. Benzer şekilde, LP Token sözleşmesindeki tüm lpTokenler de kötü niyetli adrese transfer ediliyordu. Son olarak, userInfo.amount 0 olarak ayarlanıyordu. Sözleşmedeki userInfo, Mapping yapısıdır ve adresi, userInfo'nun anahtarı (uid ve msg.sender) hash'inin hesaplanmasıyla dinamik olarak belirlenen bir adrestir. Bu durumdan, arka kapının sözleşme dağıtılmadan önce kötü niyetli adres kullanılarak hesaplandığı çıkarılabilir.

DeFi projesi R0AR'ın Ethereum sözleşmesindeki arka kapı nedeniyle 780 bin dolar çalındı, fonlar geri alındı