Децентрализованный финансовый (DeFi) проект Abracadabra пострадал от нового эксплойта, который вывел из его платформы около 1,7 миллиона долларов, что стало третьим крупным инцидентом безопасности протокола менее чем за два года.
Взлом, о котором 4 октября сообщила компания Go Security, занимающаяся безопасностью блокчейна, вновь поднял вопросы о безопасности протокола DeFi и устойчивости его межцепочечных кредитных архитектур.
.🚨 GoPlus Security Alert: Кредитно-стаблкоиновая платформа Abracadabra ( $SPELL ), похоже, снова подверглась атаке, потери составили около 1,77 млн долларов.
- GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025
Ее официальный аккаунт в Twitter @@MIM_Spell не обновлялся с 9 сентября.
Адрес атакующего:... pic.twitter.com/IjECKsOCWX
Подробная информация об уязвимости и векторе атаки
Go Security подтвердила, что злоумышленники уже отмыли примерно 51 ETH через Tornado Cash после взлома. На момент составления отчета в кошельке злоумышленника, идентифицированного как 0x1AaaDe, все еще хранилось около 344 ETH приблизительной стоимостью $1,55 млн.
Исследователь безопасности Вэйлинь Ли проверил эксплойт и объяснил, что злоумышленник манипулировал переменными смарт-контракта Abracadabra, чтобы обойти проверку кредитоспособности. Эта манипуляция позволила им занять активы сверх установленного лимита, что заставило команду Abracadabra приостановить все контракты, чтобы предотвратить дальнейшие потери.
Другая аудиторская компания, занимающаяся аудитом блокчейна, Phalcon, установила, что первопричина кроется в неисправной логической последовательности в функции платформы. Это механизм, который позволяет пользователям выполнять несколько предопределенных действий в одной транзакции.
..@MIM_Spell был атакован несколько часов назад, что привело к потере ~$1,7M. Причина кроется в несовершенной логике реализации функции cook, которая позволяет пользователям выполнять несколько предопределенных операций в одной транзакции. В частности, действия имеют общую... pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) October 4, 2025
По данным компании, злоумышленник выполнил две операции, которые обошли ключевые средства защиты.
Первая, известная как действие 5, инициировала процесс выдачи займа, который должен был пройти проверку на платежеспособность. Вторая, называемая "действие 0", действовала как пустая функция обновления, которая переписывала флаг управления и пропускала последний шаг проверки. Злоумышленник извлек более 1,79 миллиона токенов MIM, повторив эту схему по шести различным адресам.
Бурная история безопасности протокола
Если подтвердится, этот последний инцидент последует за двумя предыдущими, более значительными взломами. В январе 2024 года платформа потеряла 6,49 миллиона долларов в результате взлома, который ненадолго обесценил стаблкоин MIM по отношению к доллару США.
Второй эксплойт в марте 2025 года вывел еще $13 млн из контрактов cauldron, после чего команда предложила хакеру 20-процентное вознаграждение.
На данный момент Abracadabra еще не дала публичных комментариев по поводу инцидента, а официальный аккаунт X проекта хранит молчание с начала сентября. Однако, по сообщению Go Security, команда Abracadabra подтвердила в Discord, что будет использовать резервные средства из DAO для выкупа пострадавших поставок MIM.
Как сообщается, команда Abracadabra подтвердила в Discord, что она будет использовать резервные средства из DAO для выкупа пострадавших поставок MIM.
