Angrep på DeFi-låneprotokollen Abracadabra
DeFi-låneprotokollen Abracadabra har blitt offer for et nytt angrep og har tapt omtrent 1,8 millioner dollar i MIM-tokens i et sofistikert angrep som utnyttet en feil i dens «cook»-funksjon. Bruddet markerer det tredje store hacken knyttet til Abracadabra i år, noe som forsterker bekymringene rundt plattformens kontraktsikkerhet.
Tidligere i mai kjøpte protokollen tilbake 6,5 millioner MIM, som dekket omtrent halvparten av de 13 millioner dollar som ble tapt i mars-angrepet. Teamet bekreftet at brukerfondene ikke ble berørt og sa at de allokerte en del av sin 19 millioner dollar kasse for å kjøpe tilbake MIM og stabilisere tilbudet.
Det er verdt å merke seg at blokkjededata viser at angriperen utnyttet den samme feilen på tvers av seks forskjellige lommebokadresser. Ved å kalle «cook»-funksjonen med den spesifikke handlingssekvensen, lånte angriperen 1,793,755 MIM-tokens og byttet dem senere mot andre eiendeler, noe som ga omtrent 1,7 til 1,8 millioner dollar i totale gevinster.
Sikkerhetsanalytikere bekreftet at angrepet ikke skyldtes en reentrancy-feil eller en typisk flash-låns sårbarhet, men stammer helt fra en logisk feil i koden. Den berørte transaksjonen og tilknyttede lommebøker har blitt flagget av overvåkingsplattformer. Abracadabras utviklingsteam bemerket at DAO har identifisert og dempet angrepet, og ingen andre midler eller brukere er i fare.
Tidlige forslag fra sikkerhetseksperter inkluderer å implementere isolerte tilstandskontroller for hver handling og legge til obligatoriske solvabilitetsvalideringer etter alle låneoperasjoner.
Hvordan den feilaktige «cook»-funksjonen ble utnyttet
Ifølge blokkjedesikkerhetsfirmaet BlockSec var angrepet rettet mot Abracadabras «cook»-funksjon. Denne funksjonen er designet for å la brukere utføre flere forhåndsdefinerte operasjoner i en enkelt transaksjon. Selv om dette designet har som mål å forbedre effektiviteten, skapte det også en farlig sårbarhet på grunn av delt statusoppfølging innen funksjonen.
Hver handling utført under «cook»-funksjonen deler en enkelt statusvariabel. Når en låneoperasjon (handling = 5) skjer, setter systemet et flagg som indikerer at en solvabilitetskontroll er nødvendig på slutten av transaksjonen. Imidlertid, når en annen handling (handling = 0) følger, kaller den en intern hjelpefunksjon kalt «additionalCookAction». Denne hjelpefunksjonen er i praksis tom og tilbakestiller solvabilitetsflagget til falsk, og overstyrer den forrige innstillingen.
Denne oversikten tillot angriperne å kombinere de to handlingene, [5, 0], for å låne eiendeler mens de omgått insolvensverifisering. Som et resultat ble den endelige solvabilitetskontrollen aldri utført, noe som lot angriperen tømme protokollmidlene.
Analytikere advarer om at ettersom DeFi-plattformer fortsetter å prioritere fleksibilitet og sammensetning, blir angriperne stadig mer dyktige til å identifisere skjulte avhengigheter innen kompleks logikk i smarte kontrakter. Å styrke testrammer, forbedre kodegjennomganger og implementere kontinuerlig overvåking blir nå sett på som essensielle skritt for å beskytte protokoller og brukerfond.
Økende DeFi-hack i 2025
Den desentraliserte finanssektoren (DeFi) står overfor et av sine tøffeste år hittil, med utnyttelser som når rekordhøyder i 2025. Den samme plattformen, Abracadabra, led et brudd på 13 millioner dollar i Ether (ETH) den 25. mars 2025, etter at angripere utnyttet komplekse logiske feil begravd dypt i dens smarte kontraktsarkitektur.
Utnyttelsen målrettet GMX-tokenbassenger og tappet 6,260 ETH. I motsetning til vanlige sårbarheter knyttet til aritmetiske feil eller tilgangskontroll, utnyttet dette angrepet flertrinns transaksjonslogikk, noe som gjorde det eksepsjonelt vanskelig å oppdage under revisjoner.
Det var Abracadabras andre store utnyttelse av året, etter et 6,49 millioner dollar hendelse i januar 2024 som destabiliserte dens Magic Internet Money (MIM) stablecoin. Angrepet involverte flere «kjelder» på Ethereum. Blokkjede-detektiver fra Cyvers Alerts avslørte senere at hackeren brukte 1 ETH fra Tornado Cash, den sanksjonerte personvernsblanderen, for å finansiere operasjonen, og til slutt tappet 2,740 ETH og flyttet 4 millioner dollar til en ny lommebok.
Angrepet på Abracadabra er en del av en bredere trend med økende kryptotyverier. Ifølge Chainalysis ble over 2,17 milliarder dollar stjålet mellom januar og juni 2025, noe som nesten matcher alle tapene i 2024. CertiK plasserte tallet enda høyere, på 2,47 milliarder dollar, drevet stort sett av februars 1,5 milliarder dollar Bybit-hack—et av de største børsbruddene i historien.
På månedlig basis forårsaket hackene anslåtte tap på 127,06 millioner dollar i september 2025. Selv om tallet representerer en nedgang på 22 % fra augusts 163 millioner dollar, ble det fortsatt registrert nesten 20 store utnyttelser. Selv med nedgangen forblir utnyttelsesaktiviteten høy, med september-tap som overstiger julis 142 millioner dollar. Med midtårs tapene i 2025 allerede oversteget de 2,2 milliarder dollar som ble stjålet i hele 2024, advarer analytikere om at uten sterkere sikkerhetstiltak kan dette året rangere blant de verste i kryptovalutaens historie for brudd.
