Odaily Planet Daily melaporkan, SlowMist merilis peringatan keamanan bahwa Aurellion mengalami serangan, dengan kerugian sekitar 455.003 USDC (sekitar $455.000).
Analisis menunjukkan bahwa akar kerentanan terletak pada fungsi initialize(address) di SafeOwnable Facet yang tidak memiliki perlindungan yang memadai. Karena kontrak Diamond tidak melewati jalur initialize saat menetapkan owner, slot versi _initialized tidak diperbarui dengan benar, memungkinkan penyerang untuk menginisialisasi ulang kontrak dan menimpa izin owner.
Selanjutnya, penyerang memanggil diamondCut untuk menyuntikkan Facet jahat dan mentransfer aset USDC pengguna yang telah diberi wewenang melalui fungsi pullERC20 jahat, sehingga menyelesaikan pencurian dana.
Alamat terkait sebagai berikut:
Kontrak yang terdampak: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Lubang keamanan Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Alamat penyerang: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
Saat ini, penyerang telah mengambil alih kepemilikan kontrak Diamond dan mentransfer USDC dari beberapa alamat yang diotorisasi, termasuk alamat 0x2e933518..., 0xa90714a1..., dan 0xeced2d37...