DeFi项目R0AR在以太坊上的合约存在后门，导致约78万美元被盗。该事件发生于4月16日，Web3安全公司GoPlus在4月22日通过X平台披露了此事。项目方发布的事故报告显示资金已被追回，但相关地址和交易哈希尚未公开。攻击者利用合约部署时的后门地址，通过执行恶意的EmergencyWithdraw()函数，转移了合约中的所有代币和LP代币，最终将用户信息中的金额清零。该事件提醒用户警惕后门合约（地址0xBD2Cd7），避免与其交互。

PANews 于4月22日报道，Web3安全公司 GoPlus 在 X 平台表示，4月16日，基于 Ethereum 的 DeFi 项目 R0AR（@th3r0ar）因合约后门被盗约78万美元。该项目今日发布了事件报告（报告中指出资金已被追回，但地址和交易哈希尚未公开）。这是一起典型的合约后门事件，提醒用户谨慎防范后门合约（0xBD2Cd7），避免与该合约交互。

该合约（R0ARStaking）在部署时已被植入后门。恶意地址（0x8149f）从一开始就内置了大量用于提取的 $1R0R。恶意地址首先执行了少量的 deposit() 和 harvest()，准备执行恶意的 EmergencyWithdraw()。根据合约中的代码逻辑（如下图所示），因 rewardAmount 大于 r0arTokenBalance（即合约余额），rewardAmount 被赋值为合约内的代币余额，随后合约内的所有代币被转移至恶意地址（0x8149f）。同样，所有 LP Token 合约中的 lpTokens 也被转移到该恶意地址。最后，userInfo.amount 被设置为 0。合约中的 userInfo 是一个 Mapping 结构，其地址是通过 userInfo 的键（uid 和 msg.sender）的哈希动态计算得出。由此推断，后门是在合约部署前通过恶意地址计算植入的。

DeFi项目R0AR以太坊合约后门导致78万美元被盗，资金已追回