PANewsは1月7日、Fusion（IPOR）の公式発表によると、Arbitrumに導入されているFusion USDCオプティマイザーVaultが1月6日にスマートコントラクト攻撃を受け、33万6000ドル相当のUSDCが失われたと報じました。攻撃者は、旧バージョンのVaultの「fuse」ロジックに存在する検証脆弱性を悪用し、EIP-7702メカニズムを利用して管理者権限を操作し、悪意のあるロジックモジュールを挿入して引き出しを開始し、資金をTornado.Cashに送金しました。

この脆弱性は、490日前に導入された古いVaultにのみ影響を及ぼし、他のVaultには影響がありませんでした。IPORは、DAOの資金によってユーザーの損失が補償されると発表し、SEAL、Hexagate、Blockaidなどのセキュリティチームと協力して資金の追跡を行っています。このインシデントは、論理エラーとEIP-7702特権の悪用の組み合わせによって引き起こされたことが確認されており、完全な技術的概要が公開されています。