Abracadabra kärsii kolmannen DeFi-hyökkäyksen, kun hakkerit vievät 1,7 miljoonaa dollaria

Abracadabra, johtava DeFi-lainausalusta, on kärsinyt kolmannen merkittävän hyväksikäytön kahden vuoden aikana, menettäen noin 1,7 miljoonaa dollaria.
Turvallisuusasiantuntijat sanoivat, että haitallinen hyökkääjä manipuloi älysopimuksen virhettä ohittaakseen maksukykyisyyden tarkistukset ja tyhjentääkseen varoja.
Samaan aikaan projektin tiimi on keskeyttänyt kaikki sopimukset ja aikoo käyttää DAO:n varoja varastettujen MIM-tokenien takaisinostoon.

DeFi-projekti Abracadabra on kärsinyt uudesta hyökkäyksestä, joka vei noin 1,7 miljoonaa dollaria sen alustalta.

Lohkoketjun turvallisuusyritys Go Security ilmoitti murrosta 4. lokakuuta ja vahvisti, että hyökkääjät olivat jo pesseet noin 51 ETH Tornado Cashin kautta. Raportointihetkellä hyökkääjän lompakossa (tunnistettu nimellä 0x1AaaDe) oli vielä noin 344 ETH, arvoltaan noin 1,55 miljoonaa dollaria.

Kuinka Abracadabra hyödynnettiin kolmannen kerran

Turvallisuustutkija Weilin Li vahvisti hyökkäyksen ja selitti, että hyökkääjä manipuloi Abracadabran älysopimuksen muuttujia ohittaakseen maksukykyisyyden tarkistuksen.

Tämä mahdollisti omaisuuserien lainaamisen yli tarkoitetun rajan, mikä sai Abracadabran tiimin keskeyttämään kaikki sopimukset lisätappioiden estämiseksi.

Toinen lohkoketjun auditointiyritys, Phalcon, jäljitti ongelman juurisyyn alustan cook-funktion virheelliseen logiikkajärjestykseen. Tämä on mekanismi, joka sallii käyttäjien suorittaa useita ennalta määriteltyjä toimintoja yhdessä transaktiossa.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Yrityksen mukaan hyökkääjä suoritti kaksi operaatiota, jotka ohittivat keskeiset turvatoimet.

Ensimmäinen, tunnettu nimellä toiminto 5, aloitti lainausprosessin, jonka oli tarkoitus läpäistä maksukykyisyyden tarkistukset. Toinen, nimeltään toiminto 0, toimi tyhjänä päivitystoimintona, joka kirjoitti tarkistuslipun uudelleen ja ohitti lopullisen validointivaiheen.

Hyökkääjä tyhjensi yli 1,79 miljoonaa MIM-tokenia toistamalla tätä kaavaa kuudella eri osoitteella.

Lehdistöhetkellä Abracadabra ei ole vielä kommentoinut tapausta julkisesti. Erityisesti projektin virallinen X-tili on pysynyt hiljaisena syyskuun alusta lähtien.

Kuitenkin Go Security raportoi, että Abracadabran tiimi vahvisti Discordissa käyttävänsä DAO:n vararahastoja korvatakseen vaikutuksen alaisen MIM-tarjonnan.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Samaan aikaan, jos tapaus vahvistetaan, se olisi kolmas hyökkäys Abracadabraa vastaan alle kahden vuoden sisällä.

Tammikuussa 2024 alusta menetti 6,49 miljoonaa dollaria hakkeroinnissa, joka hetkellisesti irrotti MIM stablecoinin Yhdysvaltain dollarista. Toinen hyökkäys maaliskuussa 2025 tyhjensi toiset 13 miljoonaa dollaria sen kattilasopimuksista, minkä jälkeen tiimi tarjosi hakkerille 20 % palkkion.

Tällaisten murtojen toistuminen herättää uusia kysymyksiä DeFi-protokollan turvallisuudesta ja sen ristiinketjulainausarkkitehtuurien kestävyydestä.