В смарт-контракте проекта R0AR была обнаружена критическая уязвимость. Она привела к потере 493,7 ETH — около $790 тыс. по текущему курсу. Инцидент вызвал повышенное внимание крупных блокчейн-аналитических компаний: PeckShield, CertiK и SlowMist. Представители этих организаций заявили о начале собственного расследования и сообщили детали атаки. Эксплуататор вывел украденные средства через Tornado Cash, что затрудняет дальнейшее отслеживание.
Специалисты из SlowMist установили: причиной атаки стал бэкдор, встроенный в контракт на этапе развертывания. Он позволял напрямую изменять данные в хранилище, включая пользовательский баланс. В частности, сумма для одного адреса была искусственно увеличена, после чего активировалась функция экстренного вывода. Это позволило злоумышленнику получить все средства из пула без стандартной логики доступа. Подозрения в преднамеренности модификации сейчас также проверяются.
Сотрудники PeckShield первыми заявили о взломе, указав точную сумму украденных средств и факт перевода всех токенов в Tornado Cash. По данным аналитиков, речь идет о целенаправленной атаке, которая была заранее подготовлена. Исходные транзакции подтверждают гипотезу о планировании преступления за несколько месяцев до самого взлома.
Специалисты из компании CertiK также отметили наличие критической уязвимости в логике смарт-контракта. Согласно анализу, адрес 0x8149…401f получил возможность вызвать функцию emergencyWithdraw() благодаря искусственно завышенному балансу. Это позволило ему вывести 100 млн токенов 1ROR без соблюдения условий стейкинга.
Представители MistTrack (аналитической платформы, связанной со SlowMist) также обнародовали цепочку действий эксплуататора. Согласно данным, начальные средства поступили с Tornado Cash в апреле 2024 года, после чего были перераспределены через серию промежуточных адресов. Последняя транзакция зафиксирована 13 апреля 2025-го, всего за несколько дней до взлома. Это может указывать на связь между источником финансирования и этапом подготовки атаки.