Odaily星球日報訊 慢霧發布安全預警稱,Aurellion 遭遇攻擊,損失約 455,003 枚 USDC(約 45.5 萬美元)。
分析指出,漏洞的根源在於 SafeOwnable Facet 中的 initialize(address) 函數缺乏有效保護。由於 Diamond 合約在設定 owner 時未經由 initialize 路徑,導致 _initialized 版本槽未正確更新,攻擊者得以重新初始化合約並覆蓋 owner 權限。
隨後,攻擊者調用 diamondCut 注入惡意 Facet,並透過惡意 pullERC20 功能轉移已授權用戶的 USDC 資產,最終完成資金盜取。
相關地址如下:
受影響合約:0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2
漏洞 Facet:0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f
攻擊者地址:0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca
目前,攻擊者已奪取 Diamond 合約所有權,並從多個已授權地址中轉走 USDC,包括 0x2e933518...、0xa90714a1... 與 0xeced2d37... 等地址。