اوڈیلی پلانٹ ریپورٹ کے مطابق، میڈ سیکیورٹی نے ایک سیکیورٹی ایلرٹ جاری کیا ہے جس میں کہا گیا ہے کہ اوریلین پر حملہ ہوا ہے اور تقریباً 455,003 USDC (تقریباً 455,000 امریکی ڈالر) کا نقصان ہوا ہے۔
تجزیہ سے پتہ چلتا ہے کہ خرابی کی بنیادی وجہ SafeOwnable Facet میں initialize(address) فنکشن کا مؤثر طریقے سے محفوظ نہ ہونا ہے۔ چونکہ Diamond معاہدہ owner کو سیٹ کرتے وقت initialize پاتھ کے ذریعے نہیں گزرا، اس لیے _initialized ورژن سلو کو درست طریقے سے اپڈیٹ نہیں کیا گیا، جس کی وجہ سے حملہ آور معاہدہ کو دوبارہ شروع کر سکا اور owner کے اختیارات کو اووررائٹ کر سکا۔
اس کے بعد، حملہ آور نے diamondCut کو بلایا تاکہ بری جانچ شامل کرے اور بری pullERC20 فنکشن کے ذریعے منظور کردہ صارفین کے USDC اثاثوں کو منتقل کر کے فنڈز چھین لیے۔
متعلقہ پتے درج ذیل ہیں:
متاثرہ معاہدہ: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
خرابی Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
حملہ آور کا پتہ: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
اب تک، حملہ آور نے ڈائمنڈ کنٹریکٹ کی ملکیت حاصل کر لی ہے اور متعدد اجازت دیے گئے پتےوں سے USDC منتقل کر دیا ہے، جن میں 0x2e933518...، 0xa90714a1... اور 0xeced2d37... جیسے پتے شامل ہیں۔