Aurellion подверглась значительному нарушению безопасности, потеряв примерно 455 003 USDC из-за уязвимости в смарт-контракте. Атака была выявлена компанией SlowMist, которая указала на ошибку в функции initialize(address) компонента SafeOwnable Facet. Эта уязвимость позволила злоумышленнику повторно инициализировать контракт и переписать права владельца, используя отсутствие надлежащей защиты инициализации в контракте Diamond. Злоумышленник использовал функцию diamondCut для внедрения вредоносного Facet, что позволило несанкционированно перевести активы USDC через скомпрометированную функцию pullERC20. Адрес скомпрометированного контракта — 0x0adc63e71b035d5c7fdb1b4593999fa1f296f1b2, уязвимый компонент находится по адресу 0x3ca79c1cf29b8d19f7c643bb6e6bc9c49762e70f. Злоумышленник, действующий с адреса 0x9f49591a3bf95b49cd8d9477b4481ce9da68d5ca, взял под контроль контракт Diamond и перевел USDC с нескольких авторизованных адресов.