PANews는 1월 7일 Fusion(IPOR 소속)의 공식 발표를 인용하여, Arbitrum에 배포된 Fusion USDC 최적화 도구인 Vault가 1월 6일 스마트 계약 공격을 받아 336,000달러 상당의 USDC가 손실되었다고 보도했습니다. 공격자는 Vault 구버전의 "fuse" 로직에 있는 검증 누락 취약점을 악용하고, EIP-7702 메커니즘을 사용하여 관리자 권한을 조작했습니다. 이를 통해 악성 로직 모듈을 성공적으로 삽입하고, 자금을 Tornado.Cash로 이체하는 인출을 시도했습니다.

이 취약점은 490일 전에 배포된 오래된 Vault에만 영향을 미쳤으며, 다른 Vault는 영향을 받지 않았습니다. IPOR은 DAO의 자금으로 사용자들의 손실을 보상할 것이며, SEAL, Hexagate, Blockaid와 같은 보안 팀과 협력하여 보상금 회수를 진행하고 있다고 밝혔습니다. 이번 사건은 논리적 오류와 EIP-7702 권한 남용이 복합적으로 작용한 결과로 확인되었으며, 자세한 기술적 분석 보고서가 공개되었습니다.