Odaily ดาวเคราะห์รายวันรายงาน หน่วยงาน SlowMist ได้ออกคำเตือนด้านความปลอดภัยระบุว่า Aurellion ถูกโจมตี สูญเสียประมาณ 455,003 หน่วย USDC (ประมาณ 455,000 ดอลลาร์สหรัฐ)
การวิเคราะห์ชี้ให้เห็นว่าจุดอ่อนเกิดจากฟังก์ชัน initialize(address) ใน SafeOwnable Facet ที่ขาดการป้องกันที่เหมาะสม เนื่องจากสัญญา Diamond ไม่ได้ใช้เส้นทาง initialize เมื่อกำหนด owner ทำให้ช่องเวอร์ชัน _initialized ไม่ได้รับการอัปเดตอย่างถูกต้อง ทำให้ผู้โจมตีสามารถเริ่มต้นสัญญาใหม่และแทนที่สิทธิ์ของ owner
จากนั้น ผู้โจมตีเรียกใช้ diamondCut เพื่อฝัง Facet ที่เป็นอันตราย และผ่านฟังก์ชัน pullERC20 ที่เป็นอันตรายเพื่อโอนทรัพย์สิน USDC ของผู้ใช้ที่ได้รับการอนุญาต จนเสร็จสิ้นการขโมยเงิน
ที่อยู่ที่เกี่ยวข้องดังนี้:
สัญญาที่ได้รับผลกระทบ: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
ช่องโหว่ Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
ที่อยู่ของผู้โจมตี: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
ขณะนี้ ผู้โจมตีได้ยึดสิทธิ์การเป็นเจ้าของสัญญา Diamond และโอน USDC ออกจากที่อยู่ที่ได้รับอนุญาตหลายแห่ง รวมถึงที่อยู่ 0x2e933518..., 0xa90714a1... และ 0xeced2d37...