Odaily Planet Daily сообщила, что SlowMist выпустил предупреждение о безопасности: Aurellion подвергся атаке, в результате чего были утеряны примерно 455 003 USDC (около 455 000 долларов США).
Анализ показал, что уязвимость возникла из-за отсутствия надлежащей защиты в функции initialize(address) в SafeOwnable Facet. Поскольку Diamond-контракт при установке owner не проходил через путь initialize, поле _initialized не было правильно обновлено, что позволило злоумышленнику повторно инициализировать контракт и перезаписать права owner.
Затем злоумышленник вызвал diamondCut для вставки вредоносного Facet и с помощью вредоносной функции pullERC20 перевел USDC-средства авторизованных пользователей, завершив кражу средств.
Соответствующий адрес указан ниже:
Пострадавший смарт-контракт: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Уязвимость Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Адрес атакующего: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
В настоящее время злоумышленники захватили владение контрактом Diamond и перевели USDC с нескольких авторизованных адресов, включая 0x2e933518..., 0xa90714a1... и 0xeced2d37...