去中心化金融(DeFi)项目 Abracadabra 再次遭遇攻击,平台损失约 170 万美元。
区块链安全公司 Go Security 于 10 月 4 日发现了此次漏洞,并确认攻击者已通过 Tornado Cash 洗白了约 51 枚 $ETH。截至报道时,攻击者的钱包(地址为 0x1AaaDe)仍持有约 344 枚 $ETH,价值约 155 万美元。
安全研究员 Weilin Li 验证了此次攻击,并解释称攻击者操控了 Abracadabra 的智能合约变量,以绕过偿付能力检查。
这使得他们能够借出超出预定限额的资产,迫使 Abracadabra 团队暂停所有合约以防止进一步损失。
另一家区块链审计公司 Phalcon 追踪到问题根源在于平台 cook 函数中的逻辑错误。该机制允许用户在一次交易中执行多个预定义操作。
据该公司称,攻击者进行了两次操作,覆盖了关键的安全措施。
第一个操作,称为 action 5,启动了一个本应通过偿付能力检查的借贷过程。第二个操作,称为 action 0,作为一个空更新函数,重写了检查标志并跳过了最终验证步骤。
攻击者通过在六个不同地址重复这一模式,提取了超过 179 万枚 MIM 代币。
截至发稿时,Abracadabra 尚未就此事件公开发表评论。值得注意的是,该项目的官方 X 账号自 9 月初以来一直保持沉默。
然而,Go Security 报告称,Abracadabra 团队在 Discord 上确认将使用 DAO 储备资金回购受影响的 MIM 供应。
与此同时,如果得到证实,这将是 Abracadabra 在不到两年内遭遇的第三次攻击。
在 2024 年 1 月,该平台遭遇黑客攻击损失 649 万美元,导致 MIM 稳定币短暂脱锚美元。2025 年 3 月的第二次攻击又从其 cauldron 合约中提取了 1300 万美元,之后团队向黑客提供了 20% 的赏金。
此类漏洞的反复出现,再次引发了对DeFi 协议安全性及其跨链借贷架构可持续性的质疑。
