Protokół pożyczkowy DeFi Abracadabra zgłosił, że od 2024 roku protokół doświadczył trzeciego poważnego ataku, co doprowadziło do strat w wysokości 1,8 miliona dolarów. Hakerzy wykorzystali lukę w kontroli wypłacalności w inteligentnym kontrakcie protokołu. Firma zabezpieczeń BlockSec Phalcon odkryła, że atak miał miejsce 4 października 2025 roku, a napastnicy obejśli zabezpieczenia, pożyczając 1,79 miliona dolarów.
Waluta internetowa (#MIM ) token, który później został wymieniony na #ETH , a następnie został wyprany przez Tornado Cash.#DAO Skarbiec został uruchomiony w celu odkupu skradzionych tokenów MIM, a użytkownicy podobno nie ponieśli strat.
Luka ta wynika z błędu logicznego w funkcji „cook” protokołu, która pozwala użytkownikom na wykonanie wielu operacji w jednej transakcji. Badacze wskazali, że napastnicy zmanipulowali dwie konkretne operacje — oznaczenie jednej jako proces pożyczkowy (operacja 5) i oznaczenie drugiej jako aktualizacja pustego (operacja 0), aby pominąć kroki weryfikacji i wyciągnąć fundusze. Ta metoda jest podobna do wcześniejszych ataków, w tym incydentu wycieku 6,4 miliona dolarów, który miał miejsce w styczniu 2024 roku, oraz kradzieży 13 milionów dolarów, która miała miejsce w marcu 2025 roku, które dotyczyły luk w umowie „Cauldron”.
Te trzy incydenty łącznie spowodowały straty przekraczające 21 milionów dolarów, co wzbudziło obawy dotyczące bezpieczeństwa tego protokołu. Całkowita wartość zablokowana (TVL) w Abracadabra wynosi 154 miliony dolarów, a krążąca ilość MIM to 44 miliony tokenów. [1] Pomimo tych trudności zespół protokołu wstrzymał dotknięte umowy i podkreślił ciągły przegląd procesów wewnętrznych, aby zapobiec przyszłym naruszeniom.
Zdarzenie to uwydatniło powszechne luki w platformach DeFi. Dane CertiK pokazują, że w trzecim kwartale 2025 roku globalna kwota skradzionych funduszy na platformach kryptowalutowych wyniosła 307 milionów dolarów, a wskaźnik wykorzystania luk w DeFi był drugi po scentralizowanych giełdach. [2] Badacze bezpieczeństwa Weilin William Li i Vladimir S. podkreślili konieczność rygorystycznych audytów i testów obciążeniowych, wskazując, że powtarzające się luki wskazują na systematyczne ryzyko w projektowaniu umów inteligentnych.
Środki zaradcze Abracadabra obejmują użycie rezerwy DAO do wykupu tokenów MIM oraz współpracę z Chainalysis w celu śledzenia skradzionych funduszy. Niemniej jednak protokół nie opublikował jeszcze żadnego publicznego oświadczenia, a jego oficjalne konto X milczy od początku września. [3] Brak przejrzystości wywołał krytykę społeczności DeFi, a biorąc pod uwagę częste naruszenia platformy, społeczność kwestionuje jej długoterminową zrównoważoność.
Ten atak odzwierciedla również wyzwania związane z architekturą pożyczek między łańcuchami. Mimo że stablecoin MIM Abracadabra utrzymywał powiązanie z dolarem podczas incydentu, historia wykorzystania luk tej platformy osłabiła zaufanie użytkowników. Analitycy wskazali, że straty wynoszące 1,8 miliona dolarów, chociaż mniejsze niż wcześniejsze wykorzystania luk, podkreślają trudności w łagodzeniu luk w szybko rozwijających się protokołach DeFi.
W obliczu wyzwań związanych z bezpieczeństwem w dziedzinie DeFi przypadek Abracadabra stanowi ostrzeżenie o wrodzonych ryzykach systemów zdecentralizowanych. To, czy protokół będzie mógł przywrócić zaufanie, zależy od przejrzystej komunikacji, solidnych audytów oraz strukturalnych reform logiki umów inteligentnych.
