Abracadabra rammes av tredje DeFi-angrep da hackere tapper $ 1,7 millioner

Abracadabra, en ledende DeFi utlånsplattform, har blitt utsatt for sitt tredje store angrep på to år og mistet rundt $ 1,7 millioner.
Sikkerhetseksperter sa at den ondsinnede angriperen manipulerte en feil i smartkontrakten for å omgå solvenskontroller og tømme midler.
I mellomtiden har prosjektets team stanset alle kontrakter og planlegger å bruke DAO-reserver til å kjøpe tilbake de stjålne MIM-tokens.

DeFi-prosjektet Abracadabra har blitt utsatt for et nytt angrep som tappet omtrent $ 1,7 millioner fra plattformen.

Blokkjede-sikkerhetsfirmaet Go Security rapporterte bruddet 4. oktober og bekreftet at angriperne allerede hadde hvitvasket omtrent 51 ETH gjennom Tornado Cash. I skrivende stund hadde angriperens lommebok (identifisert som 0x1AaaDe) fortsatt rundt 344 ETH, verdt omtrent $ 1,55 millioner.

Hvordan Abracadabra ble utnyttet for tredje gang

Sikkerhetsforsker Weilin Li verifiserte angrepet og forklarte at angriperen manipulerte Abracadabras smartkontrakt variabler for å omgå en solvenssjekk.

Dette tillot dem å låne aktiva utover den tiltenkte grensen, noe som førte til at Abracadabras team stoppet alle kontrakter for å forhindre ytterligere tap.

Et annet blokkjede-revisjonsfirma, Phalcon, sporet årsaken til en feilaktig logikksekvens i plattformens cook-funksjon. Dette er en mekanisme som lar brukere utføre flere forhåndsdefinerte handlinger i én transaksjon.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Ifølge firmaet utførte angriperen to operasjoner som overstyrte viktige sikkerhetstiltak.

Den første, kjent som handling 5, initierte en låneprosess som skulle passere solvenssjekker. Den andre, kalt handling 0, fungerte som en tom oppdateringsfunksjon som omskrev sjekkflagget og hoppet over den siste valideringssteget.

Angriperen tappet mer enn 1,79 millioner MIM-tokens ved å gjenta dette mønsteret over seks forskjellige adresser.

I skrivende stund har Abracadabra ennå ikke kommentert offentlig om hendelsen. Merkverdig nok har prosjektets offisielle X-konto vært stille siden tidlig i september.

Imidlertid rapporterte Go Security at Abracadabra-teamet bekreftet på Discord at de ville bruke DAO-reservefond til å tilbakekjøpe den berørte MIM-forsyningen.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

I mellomtiden, hvis bekreftet, vil den siste hendelsen markere det tredje angrepet mot Abracadabra på under to år.

I januar 2024 mistet plattformen $ 6,49 millioner i et hack som kortvarig løsrev MIM stablecoin fra den amerikanske dollaren. Et andre angrep i mars 2025 tappet ytterligere $ 13 millioner fra sine cauldron-kontrakter, hvoretter teamet tilbød hackeren en 20 % dusør.

Gjentakelsen av slike brudd reiser nye spørsmål om sikkerheten til DeFi-protokollen og bærekraften til dens cross-chain utlånsarkitekturer.