DeFi-prosjektet Abracadabra har blitt utsatt for et nytt angrep som tappet omtrent $ 1,7 millioner fra plattformen.
Blokkjede-sikkerhetsfirmaet Go Security rapporterte bruddet 4. oktober og bekreftet at angriperne allerede hadde hvitvasket omtrent 51 ETH gjennom Tornado Cash. I skrivende stund hadde angriperens lommebok (identifisert som 0x1AaaDe) fortsatt rundt 344 ETH, verdt omtrent $ 1,55 millioner.
Hvordan Abracadabra ble utnyttet for tredje gang
Sikkerhetsforsker Weilin Li verifiserte angrepet og forklarte at angriperen manipulerte Abracadabras smartkontrakt variabler for å omgå en solvenssjekk.
Dette tillot dem å låne aktiva utover den tiltenkte grensen, noe som førte til at Abracadabras team stoppet alle kontrakter for å forhindre ytterligere tap.
Et annet blokkjede-revisjonsfirma, Phalcon, sporet årsaken til en feilaktig logikksekvens i plattformens cook-funksjon. Dette er en mekanisme som lar brukere utføre flere forhåndsdefinerte handlinger i én transaksjon.
Ifølge firmaet utførte angriperen to operasjoner som overstyrte viktige sikkerhetstiltak.
Den første, kjent som handling 5, initierte en låneprosess som skulle passere solvenssjekker. Den andre, kalt handling 0, fungerte som en tom oppdateringsfunksjon som omskrev sjekkflagget og hoppet over den siste valideringssteget.
Angriperen tappet mer enn 1,79 millioner MIM-tokens ved å gjenta dette mønsteret over seks forskjellige adresser.
I skrivende stund har Abracadabra ennå ikke kommentert offentlig om hendelsen. Merkverdig nok har prosjektets offisielle X-konto vært stille siden tidlig i september.
Imidlertid rapporterte Go Security at Abracadabra-teamet bekreftet på Discord at de ville bruke DAO-reservefond til å tilbakekjøpe den berørte MIM-forsyningen.
I mellomtiden, hvis bekreftet, vil den siste hendelsen markere det tredje angrepet mot Abracadabra på under to år.
I januar 2024 mistet plattformen $ 6,49 millioner i et hack som kortvarig løsrev MIM stablecoin fra den amerikanske dollaren. Et andre angrep i mars 2025 tappet ytterligere $ 13 millioner fra sine cauldron-kontrakter, hvoretter teamet tilbød hackeren en 20 % dusør.
Gjentakelsen av slike brudd reiser nye spørsmål om sikkerheten til DeFi-protokollen og bærekraften til dens cross-chain utlånsarkitekturer.