慢雾: Aurellion, 취약점 공격으로 약 45만 5천 달러 상당 USDC 도난

Odaily星球日报讯 慢雾가 보안 경보를 발령하며, Aurellion이 공격을 받아 약 455,003 USDC(약 45만 5천 달러)의 손실을 입었다고 밝혔습니다.

분석에 따르면, 취약점의 근본 원인은 SafeOwnable Facet의 initialize(address) 함수에 효과적인 보호 조치가 부재했기 때문입니다. Diamond 컨트랙트가 owner를 설정할 때 initialize 경로를 거치지 않아 _initialized 버전 슬롯이 올바르게 업데이트되지 않았고, 이로 인해 공격자가 컨트랙트를 재초기화하고 owner 권한을 덮어쓸 수 있었습니다.

이후 공격자는 diamondCut을 호출하여 악성 Facet을 주입하고, 악성 pullERC20 기능을 통해 이미 승인된 사용자의 USDC 자산을 전송하여 최종적으로 자금을 탈취했습니다.

관련 주소는 다음과 같습니다:

피해 컨트랙트: 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2

취약점 Facet: 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f

공격자 주소: 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca

현재 공격자는 Diamond 컨트랙트의 소유권을 장악했으며, 0x2e933518..., 0xa90714a1..., 0xeced2d37... 등 여러 승인된 주소에서 USDC를 빼돌렸습니다.