Incident de Sécurité du Projet R0AR
Une société de sécurité Web3 a annoncé sur la plateforme X que le projet R0AR a été victime d’une violation de sécurité le 16 avril, entraînant le vol d’environ 780 000 $. Cet incident a été attribué à une vulnérabilité dans le contrat intelligent du projet.
Rapport d’Incident
L’équipe de R0AR a publié aujourd’hui un rapport d’incident, précisant que les fonds volés ont été récupérés, bien que les adresses et les hachages de transaction n’aient pas encore été rendus publics. Cet événement rappelle aux utilisateurs l’importance de la prudence en matière de sécurité, en mettant en garde contre les contrats présentant des vulnérabilités, notamment le contrat 0xBD2Cd7.
Détails de la Vulnérabilité
Il est à noter que le contrat R0ARStaking comportait une vulnérabilité depuis son déploiement. Une adresse malveillante, 0x8149f, avait été préconfigurée pour permettre l’extraction d’une quantité importante de tokens $1R0R. L’attaquant a d’abord effectué de petites transactions de dépôt et de récolte pour préparer une opération malveillante appelée EmergencyWithdraw.
Étant donné que le montant des récompenses (rewardAmount) dépassait le solde de tokens (r0arTokenBalance) du contrat, le montant des récompenses a été ajusté pour égaler le solde du contrat.
Par conséquent, tous les tokens présents dans le contrat ont été transférés à l’adresse malveillante 0x8149f. De surcroît, tous les tokens LP du contrat LP Token ont également été envoyés à cette même adresse. Enfin, le montant de userInfo a été réduit à zéro.
Dans le contrat, userInfo est une structure de mappage dont l’adresse est calculée dynamiquement à l’aide des clés uid et msg.sender. Cela suggère que la vulnérabilité a été préméditée, avec l’adresse malveillante calculée avant le déploiement du contrat.
