Abracadabra 再遭黑客攻击 损失170万美元

去中心化金融（DeFi）项目 Abracadabra 再次遭遇攻击，平台损失约 170 万美元。

区块链安全公司 Go Security 于 10 月 4 日发现了此次漏洞，并确认攻击者已通过 Tornado Cash 洗白了约 51 枚 $ETH。截至报道时，攻击者的钱包（地址为 0x1AaaDe）仍持有约 344 枚 $ETH，价值约 155 万美元。

Abracadabra 第三次遭遇漏洞攻击

安全研究员 Weilin Li 验证了此次攻击，并解释称攻击者操控了 Abracadabra 的智能合约变量，以绕过偿付能力检查。

这使得他们能够借出超出预定限额的资产，迫使 Abracadabra 团队暂停所有合约以防止进一步损失。

另一家区块链审计公司 Phalcon 追踪到问题根源在于平台 cook 函数中的逻辑错误。该机制允许用户在一次交易中执行多个预定义操作。

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT

— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

据该公司称，攻击者进行了两次操作，覆盖了关键的安全措施。

第一个操作，称为 action 5，启动了一个本应通过偿付能力检查的借贷过程。第二个操作，称为 action 0，作为一个空更新函数，重写了检查标志并跳过了最终验证步骤。

攻击者通过在六个不同地址重复这一模式，提取了超过 179 万枚 MIM 代币。

截至发稿时，Abracadabra 尚未就此事件公开发表评论。值得注意的是，该项目的官方 X 账号自 9 月初以来一直保持沉默。

然而，Go Security 报告称，Abracadabra 团队在 Discord 上确认将使用 DAO 储备资金回购受影响的 MIM 供应。

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX

— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

与此同时，如果得到证实，这将是 Abracadabra 在不到两年内遭遇的第三次攻击。

在 2024 年 1 月，该平台遭遇黑客攻击损失 649 万美元，导致 MIM 稳定币短暂脱锚美元。2025 年 3 月的第二次攻击又从其 cauldron 合约中提取了 1300 万美元，之后团队向黑客提供了 20% 的赏金。

此类漏洞的反复出现，再次引发了对DeFi 协议安全性及其跨链借贷架构可持续性的质疑。