DeFi-projektet Abracadabra har drabbats av en ny attack som tömde cirka 1,7 miljoner USD från plattformen.
Blockchain-säkerhetsföretaget Go Security rapporterade om intrånget den 4 oktober och bekräftade att angriparna redan hade tvättat cirka 51 ETH genom Tornado Cash. Vid rapporteringstillfället hade angriparens plånbok (identifierad som 0x1AaaDe) fortfarande cirka 344 ETH, värt ungefär 1,55 miljoner USD.
Hur Abracadabra utnyttjades för tredje gången
Säkerhetsforskaren Weilin Li bekräftade attacken och förklarade att angriparen manipulerade Abracadabras smarta kontrakt variabler för att kringgå en solvenskontroll.
Detta gjorde det möjligt för dem att låna tillgångar utöver den avsedda gränsen, vilket fick Abracadabras team att pausa alla kontrakt för att förhindra ytterligare förluster.
Ett annat blockchain-revisionsföretag, Phalcon, spårade grundorsaken till en felaktig logiksekvens i plattformens cook-funktion. Detta är en mekanism som låter användare utföra flera fördefinierade åtgärder i en transaktion.
Enligt företaget utförde angriparen två operationer som åsidosatte viktiga skydd.
Den första, känd som åtgärd 5, initierade en låneprocess som skulle passera solvenskontroller. Den andra, kallad åtgärd 0, fungerade som en tom uppdateringsfunktion som skrev om kontrollflaggan och hoppade över det sista valideringssteget.
Angriparen tömde mer än 1,79 miljoner MIM-tokens genom att upprepa detta mönster över sex olika adresser.
Vid pressens tidpunkt har Abracadabra ännu inte kommenterat händelsen offentligt. Noterbart är att projektets officiella X-konto har varit tyst sedan början av september.
Men Go Security rapporterade att Abracadabra-teamet bekräftade på Discord att de skulle använda DAO-reservfonder för att återköpa den drabbade MIM-leveransen.
Under tiden, om det bekräftas, skulle den senaste händelsen markera den tredje attacken mot Abracadabra på mindre än två år.
I januari 2024 förlorade plattformen 6,49 miljoner USD i en hackning som kort depeggade MIM stablecoin från den amerikanska dollarn. En andra attack i mars 2025 tömde ytterligare 13 miljoner USD från dess cauldron-kontrakt, varefter teamet erbjöd hackaren en belöning på 20 %.
Återkommande av sådana intrång väcker nya frågor om säkerheten i DeFi-protokollet och hållbarheten i dess cross-chain-lånearkitekturer.