Angreb på DeFi-låneprotokollen Abracadabra
DeFi-låneprotokollen Abracadabra er blevet offer for endnu et angreb, der har kostet cirka $1,8 millioner i MIM-tokens. Angrebet udnyttede en fejl i dens “cook”-funktion og markerer det tredje store hack relateret til Abracadabra i år, hvilket forstærker bekymringerne om platformens kontraktssikkerhed.
Tidligere i maj genkøbte protokollen 6,5 millioner MIM, hvilket dækkede omkring halvdelen af de $13 millioner, der blev tabt i marts-angrebet. Teamet bekræftede, at brugernes midler ikke var påvirket og sagde, at det afsatte en del af sin $19 millioner kasse til at købe MIM tilbage og stabilisere sin forsyning.
Blockchain-data viser, at angriberen udnyttede den samme fejl på tværs af seks forskellige wallet-adresser. Ved at kalde “cook”-funktionen med en specifik handlingssekvens lånte angriberen 1.793.755 MIM-tokens og byttede dem senere til andre aktiver, hvilket gav et samlet udbytte på cirka $1,7 til $1,8 millioner.
Sikkerhedsanalyseteam bekræftede, at udnyttelsen ikke skyldtes en reentrancy-fejl eller en typisk flash-låns sårbarhed, men stammede udelukkende fra en logisk fejl i koden. Den berørte transaktion og de tilknyttede wallets er blevet markeret af overvågningsplatforme. Abracadabras udviklingsteam bemærkede, at DAO’en har identificeret og afhjulpet udnyttelsen, og at ingen andre midler eller brugere er i fare.
Tidlige forslag fra sikkerhedseksperter inkluderer implementering af isolerede tilstandskontroller for hver handling og tilføjelse af obligatoriske solvabilitetsvalideringer efter alle låneoperationer.
Hvordan den fejlbehæftede “cook”-funktion blev udnyttet
Ifølge blockchain-sikkerhedsfirmaet BlockSec var angrebet rettet mod Abracadabras “cook”-funktion. Denne funktion er designet til at lade brugerne udføre flere foruddefinerede operationer i en enkelt transaktion. Selvom dette design har til formål at forbedre effektiviteten, skabte det også en farlig sårbarhed på grund af delt statusovervågning inden for funktionen.
Hver handling, der udføres under “cook”-funktionen, deler en enkelt statusvariabel. Når en låneoperation (handling = 5) finder sted, sætter systemet et flag, der angiver, at en solvabilitetskontrol er nødvendig ved slutningen af transaktionen. Men når en anden handling (handling = 0) følger, kalder den en intern hjælpefunktion kaldet “additionalCookAction”. Denne hjælpefunktion er effektivt tom og nulstiller solvabilitetsflaget til falsk, hvilket tilsidesætter den tidligere indstilling. Denne oversigt tillod angriberne at kombinere de to handlinger, [5, 0], for at låne aktiver, mens de omgåede insolvensverifikationen. Som et resultat blev den endelige solvabilitetskontrol aldrig udført, hvilket lod angriberen tømme protokolens midler.
Stigende DeFi-hacks i 2025
Den decentrale finans (DeFi) sektor står over for et af sine hårdeste år endnu, med udnyttelser, der stiger til rekordhøje niveauer i 2025. Den samme platform, Abracadabra, led et brud på $13 millioner Ether (ETH) den 25. marts 2025, efter at angribere udnyttede komplekse logiske fejl begravet dybt i dens smart kontraktarkitektur. Udnyttelsen målrettede GMX-tokenpuljer og drænede 6.260 ETH.
I modsætning til almindelige sårbarheder knyttet til aritmetiske fejl eller adgangskontrol, udnyttede dette angreb multi-trins transaktionslogik, hvilket gjorde det exceptionelt svært at opdage under revisioner. Det var Abracadabras andet store udnyttelse i året, efter et $6,49 millioner hændelse i januar 2024, der destabiliserede dens Magic Internet Money (MIM) stablecoin.
Angrebet involverede flere “kedel” på Ethereum. Blockchain-detektiverne Cyvers Alerts afslørede senere, at hackeren brugte 1 ETH fra Tornado Cash, den sanktionerede privatlivsmixer, til at finansiere operationen og til sidst stjal 2.740 ETH og flyttede $4 millioner til en ny wallet.
Konklusion
Angrebet på Abracadabra er en del af en bredere tendens med stigende kryptotyverier. Ifølge Chainalysis blev over $2,17 milliarder stjålet mellem januar og juni 2025, næsten svarende til alle tabene i 2024. CertiK satte tallet endnu højere, til $2,47 milliarder, drevet hovedsageligt af februars $1,5 milliarder Bybit-hack – et af de største børsbrud i historien.
På månedlig basis forårsagede hacks et anslået tab på $127,06 millioner i september 2025. Selvom tallet repræsenterer et fald på 22% fra augusts $163 millioner, blev der stadig registreret næsten 20 store udnyttelser. Selv med faldet forbliver udnyttelsesaktiviteten høj, med septembertab, der overstiger juli’s $142 millioner. Med 2025’s midtårs tab, der allerede overstiger de $2,2 milliarder, der blev stjålet i hele 2024, advarer analytikere om, at uden stærkere sikkerhedsforanstaltninger kan dette år rangere blandt de værste i kryptovalutaens historie for brud.
