Odaily Planet Daily rapporte que SlowMist a émis une alerte de sécurité indiquant qu'Aurellion a été attaqué, entraînant une perte d'environ 455 003 USDC (environ 455 000 USD).
L'analyse révèle que la faille provient de la fonction initialize(address) du SafeOwnable Facet, qui manque de protections adéquates. Étant donné que le contrat Diamond n'utilise pas le chemin initialize pour définir le propriétaire, le slot de version _initialized n'est pas mis à jour correctement, permettant à un attaquant de réinitialiser le contrat et de remplacer les droits de propriétaire.
Ensuite, l'attaquant appelle diamondCut pour injecter un Facet malveillant et transfère les actifs USDC des utilisateurs autorisés via la fonction malveillante pullERC20, achevant ainsi le vol de fonds.
Les adresses associées sont les suivantes :
Contrat victime : 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Vulnérabilité Facet : 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Adresse de l'attaquant : 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
Actuellement, l'attaquant a pris le contrôle de la propriété du contrat Diamond et a transféré des USDC depuis plusieurs adresses autorisées, notamment 0x2e933518..., 0xa90714a1... et 0xeced2d37...