Giao thức cho vay DeFi Abracadabra báo cáo rằng, kể từ năm 2024, giao thức đã gặp phải cuộc tấn công lớn thứ ba, dẫn đến tổn thất 1.8 triệu đô la. Hacker đã tận dụng lỗ hổng kiểm tra khả năng thanh toán trong hợp đồng thông minh của giao thức. Công ty an ninh BlockSec Phalcon phát hiện, cuộc tấn công này xảy ra vào ngày 4 tháng 10 năm 2025, kẻ tấn công đã vượt qua các biện pháp an ninh và vay 1.79 triệu đô la.
Tiền tệ internet (#MIM ) mã thông báo, sau đó được đổi thành #ETH , và được rửa tiền qua Tornado Cash.#DAO Quỹ đã khởi động việc mua lại MIM mã thông báo bị đánh cắp, theo báo cáo, quỹ của người dùng không bị ảnh hưởng.
Lỗ hổng này bắt nguồn từ một lỗi logic trong hàm 'cook' của giao thức, cho phép người dùng thực hiện nhiều thao tác trong một giao dịch duy nhất. Các nhà nghiên cứu chỉ ra rằng kẻ tấn công đã thao túng hai thao tác cụ thể - đánh dấu một thao tác là quy trình vay (thao tác 5) và đánh dấu một thao tác khác là cập nhật trống (thao tác 0), để ghi đè bước xác minh và rút tiền. Phương pháp này tương tự như các hành vi tấn công trước đó, bao gồm vụ rò rỉ 6.4 triệu đô la xảy ra vào tháng 1 năm 2024 và vụ đánh cắp 13 triệu đô la xảy ra vào tháng 3 năm 2025, đều nhắm vào lỗ hổng trong hợp đồng 'Cauldron'.
Ba sự cố này đã gây ra tổng thiệt hại vượt quá 21 triệu đô la, làm dấy lên mối lo ngại về an ninh của giao thức này. Giá trị khóa tổng thể (TVL) của Abracadabra là 154 triệu đô la, với lượng lưu thông của MIM là 44 triệu token. [1] Mặc dù gặp phải những trở ngại này, nhóm giao thức vẫn tạm dừng các hợp đồng bị ảnh hưởng và nhấn mạnh việc kiểm tra quy trình nội bộ liên tục để ngăn chặn các vi phạm xảy ra trong tương lai.
Sự kiện này làm nổi bật những lỗ hổng phổ biến trong các nền tảng DeFi. Dữ liệu từ CertiK cho thấy, trong quý III năm 2025, tổng số tiền bị đánh cắp từ các nền tảng tiền điện tử toàn cầu đạt 307 triệu đô la, trong đó tỷ lệ khai thác lỗ hổng DeFi đứng thứ hai, chỉ sau các sàn giao dịch tập trung. [2] Các nhà nghiên cứu an ninh Weilin William Li và Vladimir S. nhấn mạnh sự cần thiết của việc kiểm toán nghiêm ngặt và thử nghiệm áp lực, đồng thời chỉ ra rằng các lỗ hổng xảy ra lặp đi lặp lại cho thấy thiết kế hợp đồng thông minh có rủi ro hệ thống.
Các biện pháp ứng phó của Abracadabra bao gồm việc sử dụng DAO để dự trữ và mua lại token MIM, đồng thời hợp tác với Chainalysis để theo dõi các khoản tiền bị đánh cắp. Tuy nhiên, giao thức này vẫn chưa công bố tuyên bố công khai, và tài khoản chính thức X của họ vẫn im lặng từ đầu tháng 9. [3] Sự thiếu minh bạch đã gây ra chỉ trích trong cộng đồng DeFi, và với việc nền tảng này liên tục vi phạm, cộng đồng đã bày tỏ hoài nghi về tính bền vững lâu dài của nó.
Cuộc tấn công này cũng phản ánh những thách thức của cấu trúc cho vay chéo. Mặc dù stablecoin MIM của Abracadabra vẫn duy trì sự gắn kết với đô la trong thời gian xảy ra sự kiện, nhưng lịch sử khai thác lỗ hổng của nền tảng đã làm giảm niềm tin của người dùng. Các nhà phân tích chỉ ra rằng thiệt hại 1.8 triệu đô la lần này mặc dù nhỏ hơn so với các vụ khai thác trước đó, nhưng đã làm nổi bật sự khó khăn trong việc giảm thiểu lỗ hổng trong các giao thức DeFi phát triển nhanh chóng.
Trong khi nỗ lực đối phó với những thách thức an ninh trong lĩnh vực DeFi, trường hợp của Abracadabra được coi là một bài học cảnh báo về những rủi ro vốn có trong các hệ thống phi tập trung. Giao thức này có thể phục hồi lòng tin hay không, phụ thuộc vào việc giao tiếp minh bạch, kiểm toán mạnh mẽ và cải cách cấu trúc logic hợp đồng thông minh.
