Protocolul de împrumut DeFi Abracadabra raportează că, din 2024, protocolul a suferit a treia atac major, ducând la pierderi de 1,8 milioane de dolari. Hackerii au exploatat o vulnerabilitate în verificările de solvabilitate din contractul inteligent al protocolului. Compania de securitate BlockSec Phalcon a descoperit că acest atac a avut loc pe 4 octombrie 2025, atacatorii ocolind măsurile de securitate și împrumutând 1.790.000 de dolari.
Monedă internet (#MIM ) token, ulterior schimbat în #ETH , și spălat prin Tornado Cash.#DAO Fondul a fost activat pentru răscumpărarea token-urilor MIM furate, se raportează că fondurile utilizatorilor nu au fost afectate.
该漏洞源于协议“cook函数”中的一个逻辑错误,该函数允许用户在单笔交易中执行多个操作。研究人员指出,攻击者操纵了两个特定的操作——将一个标记为借款流程(操作5),将另一个标记为空更新(操作0),以覆盖验证步骤并提取资金。这种方法与之前的攻击行为类似,包括 2024 年 1 月发生的 640 万美元的泄露事件和 2025 年 3 月发生的 1300 万美元的盗窃事件,这些事件都针对的是“Cauldron”合约中的漏洞。
这三起事件累计损失已超过 2100 万美元,引发了人们对该协议安全性的担忧。Abracadabra 的总锁定价值 (TVL) 为 1.54 亿美元,MIM 的流通量为 4400 万枚代币。[1]尽管遭遇这些挫折,该协议团队仍暂停了受影响的合约,并强调持续审查内部流程,以防止未来再次发生违规行为。
此次事件凸显了 DeFi 平台普遍存在的漏洞。CertiK 数据显示,2025 年第三季度全球加密货币平台被盗金额达 3.07 亿美元,DeFi 漏洞利用率仅次于中心化交易所,排名第二。[2]安全研究人员 Weilin William Li 和 Vladimir S. 强调了严格审计和压力测试的必要性,并指出反复出现的漏洞表明智能合约设计存在系统性风险。
Abracadabra 的应对措施包括使用 DAO 储备回购 MIM 代币,并与 Chainalysis 合作追踪被盗资金。然而,该协议尚未发表公开声明,其官方 X 账户自 9 月初以来一直保持沉默。[3]缺乏透明度引发了 DeFi 社区的批评,鉴于该平台屡屡出现违规行为,社区对其长期可持续性表示质疑。
此次攻击也反映了跨链借贷架构的挑战。尽管Abracadabra的MIM稳定币在事件期间保持了与美元的挂钩,但该平台的漏洞利用历史已经削弱了用户信心。分析师指出,此次180万美元的损失虽然小于以往的漏洞利用,但凸显了在快速发展的DeFi协议中缓解漏洞的难度。
在 DeFi 领域努力应对安全挑战之际,Abracadabra 的案例堪称去中心化系统固有风险的警示案例。该协议能否恢复信任,取决于透明的沟通、强大的审计以及智能合约逻辑的结构性改革。
