DeFi项目R0AR近日因合约后门被盗约78万美元

Web3安全公司GoPlus在X平台表示，4月16日，以太坊上的DeFi项目R0AR（@th3r0ar）因合约后门，被盗约78万美元，项目方于今天发布了事件报告（报告中表明资金已追回，但尚未公开地址和交易hash）。这是一次典型的合约后门事件，提醒用户请注意防范后门合约（0xBD2Cd7），不要与该合约进行任何交互。 合约（R0ARStaking）在部署的时候就留了后门，恶意地址（0x8149f）一开始就内置了大额的$1R0R可供提取。恶意地址先进行了小额的deposit()和harvest()，并为执行恶意EmergencyWithdraw()做准备。根据合约中代码逻辑(如下图所示)，因为rewardAmount>r0arTokenBalance（合约余额）, 所以rewardAmount被赋值为合约中代币余额，然后将合约中全部代币转给了恶意地址（0x8149f）， 同理，将LP Token合约中的全部lpToken也转给了恶意地址。 最后再将userInfo.amount设置为0。合约中的userInfo是一个Mapping结构，其地址是通过userInfo 的key(uid和msg.sender) Hash计算出来的动态地址，由此推断，此次后门是合约部署前就使用恶意地址计算出来的。