Web3 攻撃事件およびセキュリティ事故

慢雾は安全警告を発表し、Aurellionが攻撃を受け、約455,003枚のUSDC（約45.5万ドル）を失ったと述べています。分析によると、脆弱性の根源はSafeOwnable Facetのinitialize(address)関数に有効な保護が欠如していることにあります。Diamondコントラクトがオーナーを設定する際にinitialize経路を通らなかったため、_initializedバージョンスロットが正しく更新されず、攻撃者はコントラクトを再初期化し、オーナー権限を上書きすることができました。その後、攻撃者はdiamondCutを呼び出して悪意のあるFacetを注入し、悪意のあるpullERC20機能を通じて承認されたユーザーのUSDC資産を移転し、最終的に資金を盗みました。

The Streetの報道によると、貸付契約PurrlendはMegaETHとHyperEVMネットワークで攻撃を受け、約152万ドルの損失を被った。攻撃者はHyperEVMネットワークから約120万ドルの資産を引き出し、449,683枚のUSDC、214,125枚のUSDT、194,745枚のUSDH、そして一部のUBTC、wstHYPE、UETH、kHYPE、WHYPEを含んでいる。攻撃者はさらにMegaETHネットワークから約32.4万ドルの資産を引き出し、USDT、WETH、USDmを含んでいる。現在、Purrlendはプロトコルを一時停止し、調査を開始しており、攻撃者のアドレスは両ネットワークのブロックブラウザで特定されている。

オンチェーンデータによると、Kelp DAOはLayerZeroに基づくrsETHブリッジプロトコルがハッカーに利用された疑いがあり、116,500のrsETH、約2.92億ドルの損失が発生しました。Kelp DAOの公式は、rsETHに関する疑わしいクロスチェーン活動を発見したと述べ、現在メインネットと複数のLayer2上のrsETHコントラクトを停止しており、安全専門家と協力していると報告しています。今後の最新情報をお知らせする予定です。

Venus ProtocolはXプラットフォームで発表し、THE資金プール内の異常な活動について調査が続いているため、すべてのTHEの借入および引き出しを直ちに停止する予防措置を講じたと述べました。これはさらなる悪用を防ぐためであり、この措置は調査が終了するまで有効です。他のすべての市場は影響を受けず、通常通り運営されます。