慢霧：Aurellionが脆弱性により攻撃を受け、約45.5万ドルのUSDCが盗まれる

Odaily星球日報の報道によると、慢霧がセキュリティ警告を発表し、Aurellionが攻撃を受け、約455,003 USDC（約45.5万ドル）の損失が発生したと伝えた。

分析によると、脆弱性の根源はSafeOwnable Facet内のinitialize(address)関数に効果的な保護が欠如していたことにある。Diamondコントラクトがownerを設定する際にinitializeのパスを経由しなかったため、_initializedバージョンスロットが正しく更新されず、攻撃者はコントラクトを再初期化してowner権限を上書きすることが可能となった。

その後、攻撃者はdiamondCutを呼び出して悪意のあるFacetを注入し、悪意のあるpullERC20機能を介して既に承認済みのユーザーからUSDC資産を移送し、最終的に資金の窃取を完了した。

関連アドレスは以下の通り：

被害コントラクト：0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2

脆弱性Facet：0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f

攻撃者アドレス：0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca

現在、攻撃者はDiamondコントラクトの所有権を奪取し、複数の承認済みアドレスからUSDCを移送している。これには0x2e933518...、0xa90714a1...、0xeced2d37...などのアドレスが含まれる。