Abracadabra rammes af tredje DeFi-udnyttelse, da hackere tømmer $1,7 millioner

Abracadabra, en førende DeFi-udlånsplatform, har lidt sit tredje store udnyttelse på to år og mistet omkring $1,7 millioner.
Sikkerhedseksperter sagde, at den ondsindede angriber udnyttede en fejl i en smart contract til at omgå solvenskontroller og tømme midler.
I mellemtiden har projektets team sat alle kontrakter på pause og planlægger at bruge DAO-reserverne til at tilbagekøbe de stjålne MIM tokens.

DeFi-projektet Abracadabra har været udsat for et nyt angreb, der drænede omkring 1,7 millioner dollars fra platformen.

Blockchain-sikkerhedsfirmaet Go Security rapporterede bruddet den 4. oktober og bekræftede, at angriberne allerede havde hvidvasket omkring 51 ETH gennem Tornado Cash. I øjeblikket havde angriberens wallet (identificeret som 0x1AaaDe) stadig omkring 344 ETH, værdisat til cirka 1,55 millioner dollars.

Hvordan Abracadabra blev udnyttet for tredje gang

Sikkerhedsforsker Weilin Li bekræftede angrebet og forklarede, at angriberen manipulerede Abracadabras smart contract variabler for at omgå en solvenskontrol.

Dette tillod dem at låne aktiver ud over den tilsigtede grænse, hvilket fik Abracadabras team til at sætte alle kontrakter på pause for at forhindre yderligere tab.

Et andet blockchain-revisionsfirma, Phalcon, sporede årsagen til en fejlbehæftet logiksekvens i platformens cook-funktion. Dette er en mekanisme, der lader brugere udføre flere foruddefinerede handlinger i én transaktion.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Ifølge firmaet udførte angriberen to operationer, der tilsidesatte vigtige sikkerhedsforanstaltninger.

Den første, kendt som handling 5, igangsatte en låneproces, der skulle bestå solvenskontroller. Den anden, kaldet handling 0, fungerede som en tom opdateringsfunktion, der omskrev kontrolflaget og sprang det sidste valideringstrin over.

Angriberen drænede mere end 1,79 millioner MIM tokens ved at gentage dette mønster på tværs af seks forskellige adresser.

I øjeblikket har Abracadabra endnu ikke kommenteret hændelsen offentligt. Bemærkelsesværdigt er projektets officielle X-konto forblevet tavs siden begyndelsen af september.

Men Go Security rapporterede, at Abracadabra-teamet bekræftede på Discord, at de ville bruge DAO-reservefonde til at genkøbe den berørte MIM-forsyning.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

I mellemtiden, hvis det bekræftes, vil den seneste hændelse markere det tredje angreb mod Abracadabra på under to år.

I januar 2024 mistede platformen 6,49 millioner dollars i et hack, der kortvarigt afkoblede MIM stablecoin fra den amerikanske dollar. Et andet angreb i marts 2025 drænede yderligere 13 millioner dollars fra dens cauldron-kontrakter, hvorefter teamet tilbød hackeren en dusør på 20%.

Gentagelsen af sådanne brud rejser nye spørgsmål om sikkerheden af DeFi-protokollen og bæredygtigheden af dens cross-chain lånearkitekturer.