DeFi-projekti Abracadabra on kärsinyt uudesta hyökkäyksestä, joka vei noin 1,7 miljoonaa dollaria sen alustalta.
Lohkoketjun turvallisuusyritys Go Security ilmoitti murrosta 4. lokakuuta ja vahvisti, että hyökkääjät olivat jo pesseet noin 51 ETH Tornado Cashin kautta. Raportointihetkellä hyökkääjän lompakossa (tunnistettu nimellä 0x1AaaDe) oli vielä noin 344 ETH, arvoltaan noin 1,55 miljoonaa dollaria.
Kuinka Abracadabra hyödynnettiin kolmannen kerran
Turvallisuustutkija Weilin Li vahvisti hyökkäyksen ja selitti, että hyökkääjä manipuloi Abracadabran älysopimuksen muuttujia ohittaakseen maksukykyisyyden tarkistuksen.
Tämä mahdollisti omaisuuserien lainaamisen yli tarkoitetun rajan, mikä sai Abracadabran tiimin keskeyttämään kaikki sopimukset lisätappioiden estämiseksi.
Toinen lohkoketjun auditointiyritys, Phalcon, jäljitti ongelman juurisyyn alustan cook-funktion virheelliseen logiikkajärjestykseen. Tämä on mekanismi, joka sallii käyttäjien suorittaa useita ennalta määriteltyjä toimintoja yhdessä transaktiossa.
Yrityksen mukaan hyökkääjä suoritti kaksi operaatiota, jotka ohittivat keskeiset turvatoimet.
Ensimmäinen, tunnettu nimellä toiminto 5, aloitti lainausprosessin, jonka oli tarkoitus läpäistä maksukykyisyyden tarkistukset. Toinen, nimeltään toiminto 0, toimi tyhjänä päivitystoimintona, joka kirjoitti tarkistuslipun uudelleen ja ohitti lopullisen validointivaiheen.
Hyökkääjä tyhjensi yli 1,79 miljoonaa MIM-tokenia toistamalla tätä kaavaa kuudella eri osoitteella.
Lehdistöhetkellä Abracadabra ei ole vielä kommentoinut tapausta julkisesti. Erityisesti projektin virallinen X-tili on pysynyt hiljaisena syyskuun alusta lähtien.
Kuitenkin Go Security raportoi, että Abracadabran tiimi vahvisti Discordissa käyttävänsä DAO:n vararahastoja korvatakseen vaikutuksen alaisen MIM-tarjonnan.
Samaan aikaan, jos tapaus vahvistetaan, se olisi kolmas hyökkäys Abracadabraa vastaan alle kahden vuoden sisällä.
Tammikuussa 2024 alusta menetti 6,49 miljoonaa dollaria hakkeroinnissa, joka hetkellisesti irrotti MIM stablecoinin Yhdysvaltain dollarista. Toinen hyökkäys maaliskuussa 2025 tyhjensi toiset 13 miljoonaa dollaria sen kattilasopimuksista, minkä jälkeen tiimi tarjosi hakkerille 20 % palkkion.
Tällaisten murtojen toistuminen herättää uusia kysymyksiä DeFi-protokollan turvallisuudesta ja sen ristiinketjulainausarkkitehtuurien kestävyydestä.