Odaily星球日報によると、慢霧はセキュリティ警告を発表し、Aurellionが攻撃を受け、約455,003枚のUSDC(約45.5万ドル)を損失したと発表しました。
分析によると、脆弱性の根本原因は、SafeOwnable Facet の initialize(address) 関数に有効な保護が欠けていることです。Diamond コントラクトが owner を設定する際に initialize パスを経由しなかったため、_initialized バージョンスロットが正しく更新されず、攻撃者がコントラクトを再初期化して owner 権限を上書きできる状況となりました。
その後、攻撃者は diamondCut を呼び出して悪意のある Facet を注入し、悪意のある pullERC20 機能を通じて承認されたユーザーの USDC 資産を移転し、資金の盗難を完了しました。
関連アドレスは以下の通りです:
被害契約:0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
脆弱性 Facet:0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
攻撃者アドレス:0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
現在、攻撃者はDiamondコントラクトの所有権を奪い、0x2e933518...、0xa90714a1...、0xeced2d37... などの複数の認可済みアドレスからUSDCを転送しました。