Odaily Planet Daily báo cáo, SlowMist phát cảnh báo an ninh cho biết Aurellion đã bị tấn công, thiệt hại khoảng 455.003 USDC (khoảng 455.000 USD).
Phân tích chỉ ra rằng lỗ hổng xuất phát từ hàm initialize(address) trong SafeOwnable Facet thiếu sự bảo vệ hiệu quả. Do hợp đồng Diamond không thông qua đường dẫn initialize khi thiết lập owner, nên ô phiên bản _initialized không được cập nhật chính xác, cho phép kẻ tấn công khởi tạo lại hợp đồng và ghi đè quyền owner.
Sau đó, kẻ tấn công gọi diamondCut để tiêm Facet độc hại và chuyển tài sản USDC của người dùng đã được cấp quyền thông qua chức năng pullERC20 độc hại, cuối cùng hoàn thành việc đánh cắp tiền.
Địa chỉ liên quan như sau:
Hợp đồng bị ảnh hưởng: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
Lỗ hổng Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
Địa chỉ kẻ tấn công: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
Hiện tại, kẻ tấn công đã chiếm quyền sở hữu hợp đồng Diamond và đã chuyển đi USDC từ nhiều địa chỉ được ủy quyền, bao gồm các địa chỉ 0x2e933518..., 0xa90714a1... và 0xeced2d37...