Компании по безопасности расследуют взлом R0AR

В смарт-контракте проекта R0AR была обнаружена критическая уязвимость, которая привела к потере 493,7 ETH — около $790 тыс. по текущему курсу. Инцидент вызвал повышенное внимание сразу 3-х крупных блокчейн-аналитических компаний: PeckShield, CertiK и SlowMist. Все они заявили о начале собственного расследования и сообщили детали атаки. Эксплуататор вывел украденные средства через Tornado Cash, что затрудняет дальнейшее отслеживание.

Специалисты SlowMist установили: причиной атаки стал бэкдор, встроенный в контракт на этапе развертывания. Он позволял напрямую изменять данные в хранилище, включая пользовательский баланс. В частности, сумма для одного адреса была искусственно увеличена, после чего активировалась функция экстренного вывода. Это позволило злоумышленнику получить все средства из пула без стандартной логики доступа. Подозрения в преднамеренности модификации сейчас также проверяются.

PeckShield 1-й заявила о взломе, указав точную сумму украденных средств и факт перевода всех токенов в Tornado Cash. По данным аналитиков, речь идет о целенаправленной атаке, действия которой были заранее подготовлены. Исходные транзакции подтверждают гипотезу о планировании действий еще за несколько месяцев до самого взлома.

Компания CertiK также отметила наличие критической уязвимости в логике смарт-контракта. Согласно их анализу, адрес 0x8149…401f получил возможность вызвать функцию emergencyWithdraw() благодаря искусственно завышенному балансу. Это позволило ему вывести 100 млн токенов 1ROR без соблюдения условий стейкинга.

MistTrack, аналитическая платформа, связанная с SlowMist, также обнародовала цепочку действий эксплуататора. Согласно их данным, начальные средства поступили с Tornado Cash в апреле 2024 года, после чего они были перераспределены через серию промежуточных адресов. Последняя транзакция зафиксирована 13 апреля 2025 года, всего за несколько дней до взлома. Это может указывать на связь между источником финансирования и этапом подготовки атаки.