Odaily Planet Daily News: Ipinahayag ng SlowMist ang isang safety alert na ang Aurellion ay nasakop, na nagresulta sa pagkawala ng halos 455,003 na USDC (halos $455,000).
Ang pagsusuri ay nagtuturo na ang pinagmulan ng butas ay ang kakulangan ng sapat na pagprotekta sa function na initialize(address) sa SafeOwnable Facet. Dahil ang Diamond contract ay hindi gumamit ng initialize path habang nagtatag ng owner, hindi tama ang pag-update ng _initialized version slot, na nagbigay-daan sa mga attacker na muli pang i-initialize ang contract at palitan ang owner permissions.
Pagkatapos, ginamit ng attacker ang diamondCut upang mag-inject ng masasamang Facet at sa pamamagitan ng masasamang pullERC20 function, isinagawa ang paglipat ng USDC na ari-arian ng mga user na pinahintulutan, upang tapusin ang pagkakawala ng pera.
Ang mga kaugnay na address ay sumusunod:
Nasaktan na contract: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Bug Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Adres ng tagapag-atake: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
Kasalukuyan, kinuha ng mga attacker ang pagmamay-ari ng Diamond contract at inilipat ang USDC mula sa mga pinahintulutang address, kabilang ang 0x2e933518..., 0xa90714a1..., at 0xeced2d37...