Odaily Planet Daily повідомляє, що SlowMist випустив попередження про безпеку: Aurellion став жертвою атаки, збитки склали близько 455 003 USDC (приблизно 455 000 доларів США).
Аналіз виявив, що корінь вразливості полягає у відсутності ефективного захисту в функції initialize(address) SafeOwnable Facet. Оскільки Diamond-контракт не використовував шлях initialize при встановленні власника, поле _initialized не було правильно оновлено, що дозволило атакуючому повторно ініціалізувати контракт і перезаписати права власника.
Після цього зловмисник викликав diamondCut, щоб впровадити шкідливий Facet і через шкідливу функцію pullERC20 переказав USDC-активи користувачів, яким було надано дозвіл, завершивши крадіжку коштів.
Відповідні адреси наведено нижче:
Постраждавший смарт-контракт: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Вразливість Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Адреса атакувача: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
На даний момент атакуючі отримали власність на контракт Diamond і переказали USDC з кількох авторизованих адрес, включаючи 0x2e933518..., 0xa90714a1... та 0xeced2d37...