Abracadabra drabbas av tredje DeFi-exploatering när hackare stjäl 1,7 miljoner USD

Abracadabra, en ledande DeFi-utlåningsplattform, har drabbats av sin tredje stora attack på två år och förlorat cirka 1,7 miljoner USD.
Säkerhetsexperter sa att den skadliga angriparen manipulerade en brist i ett smart kontrakt för att kringgå solvenskontroller och tömma medel.
Under tiden har projektets team pausat alla kontrakt och planerar att använda DAO-reserver för att återköpa de stulna MIM-tokens.

DeFi-projektet Abracadabra har drabbats av en ny attack som tömde cirka 1,7 miljoner USD från plattformen.

Blockchain-säkerhetsföretaget Go Security rapporterade om intrånget den 4 oktober och bekräftade att angriparna redan hade tvättat cirka 51 ETH genom Tornado Cash. Vid rapporteringstillfället hade angriparens plånbok (identifierad som 0x1AaaDe) fortfarande cirka 344 ETH, värt ungefär 1,55 miljoner USD.

Hur Abracadabra utnyttjades för tredje gången

Säkerhetsforskaren Weilin Li bekräftade attacken och förklarade att angriparen manipulerade Abracadabras smarta kontrakt variabler för att kringgå en solvenskontroll.

Detta gjorde det möjligt för dem att låna tillgångar utöver den avsedda gränsen, vilket fick Abracadabras team att pausa alla kontrakt för att förhindra ytterligare förluster.

Ett annat blockchain-revisionsföretag, Phalcon, spårade grundorsaken till en felaktig logiksekvens i plattformens cook-funktion. Detta är en mekanism som låter användare utföra flera fördefinierade åtgärder i en transaktion.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Enligt företaget utförde angriparen två operationer som åsidosatte viktiga skydd.

Den första, känd som åtgärd 5, initierade en låneprocess som skulle passera solvenskontroller. Den andra, kallad åtgärd 0, fungerade som en tom uppdateringsfunktion som skrev om kontrollflaggan och hoppade över det sista valideringssteget.

Angriparen tömde mer än 1,79 miljoner MIM-tokens genom att upprepa detta mönster över sex olika adresser.

Vid pressens tidpunkt har Abracadabra ännu inte kommenterat händelsen offentligt. Noterbart är att projektets officiella X-konto har varit tyst sedan början av september.

Men Go Security rapporterade att Abracadabra-teamet bekräftade på Discord att de skulle använda DAO-reservfonder för att återköpa den drabbade MIM-leveransen.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Under tiden, om det bekräftas, skulle den senaste händelsen markera den tredje attacken mot Abracadabra på mindre än två år.

I januari 2024 förlorade plattformen 6,49 miljoner USD i en hackning som kort depeggade MIM stablecoin från den amerikanska dollarn. En andra attack i mars 2025 tömde ytterligare 13 miljoner USD från dess cauldron-kontrakt, varefter teamet erbjöd hackaren en belöning på 20 %.

Återkommande av sådana intrång väcker nya frågor om säkerheten i DeFi-protokollet och hållbarheten i dess cross-chain-lånearkitekturer.