Протокол кредитування Defi Abracadabra став жертвою іншого подвигу, втративши приблизно 1,8 мільйона доларів MIM жетонів у складній атаці, яка використовувала недолік у своїй функції “кухаря”. Порушення відзначає третій великий злам, пов’язаний з Abracadabra цього року, поглиблюючи занепокоєння щодо безпеки контракту платформи.
На початку травня протокол викупив 6,5 мільйонів MIM, що охоплює близько половини від 13 мільйонів доларів, втрачених у березні. Команда підтвердила, що кошти користувачів не впливали, і заявила, що вона виділила частину скарбниці в розмірі 19 мільйонів доларів, щоб викупити MIM та стабілізувати свою пропозицію.
Зокрема, blockchain дані показує, що зловмисник експлуатував один і той же недолік у шести різних адресах гаманця. Називаючи функцію «Кука» за допомогою конкретної послідовності дій, зловмисник запозичив 1793 755 MIM жетонів, а згодом замінив їх на інші активи, зафіксувавши приблизно 1,7 до 1,8 мільйона доларів загального прибутку.
Аналітики безпеки підтвердили, що експлуатація не була пов’язана з помилкою повторного введення або типовою вразливістю флеш -позики, але повністю випливає з логічної помилки в коді. Уражена транзакція та пов’язані з ними гаманці були позначені платформами моніторингу.
Команда розробників Abracadabra зазначила, що DAO визначив та пом’якшив подвиг, і жоден інший фонд/користувачі не піддаються ризику.
Ранні пропозиції експертів з безпеки включають впровадження ізольованих перевірок стану на кожну дію та додавання обов’язкових валідацій платоспроможності після всіх операцій запозичення.
Як хибна функція «кухаря» була використана в Hack Abracadabra
За даними фірми Blockchain Blocksec, атака націлила на функцію “кухаря” Абракадабри. Ця функція розроблена для того, щоб користувачі виконували кілька заздалегідь визначених операцій в одній транзакції. Незважаючи на те, що ця конструкція має на меті підвищити ефективність, вона також створила небезпечну вразливість через спільне відстеження статусу в рамках функції.
Кожна дія, виконана під функцією “Кука”, поділяє єдину змінну статусу. Коли відбувається операція запозичення (дія = 5), система встановлює прапор, що вказує на те, що в кінці транзакції потрібна перевірка розчинності.
Однак, коли слідує інша дія (дія = 0), вона називає внутрішню функцію помічника під назвою “додаткове з’єднання”. Ця функція помічника ефективно порожня і скидає прапор платоспроможності на помилковий, переважаючи попереднє налаштування.
Цей нагляд дозволив зловмисникам поєднати дві дії, [5, 0] Позичити активи під час обходу перевірки неплатоспроможності. Як результат, остаточна перевірка платоспроможності ніколи не була виконана, дозволяючи фондам протоколу зловмисника.
Аналітики попереджають, що в міру того, як платформи Defi продовжують пріоритетність гнучкості та складності, зловмисники стають все більш вмілими при виявленні не помічених залежностей у складній логіці смарт -контракту. Посилення рамок тестування, вдосконалення оглядів коду та впровадження постійного моніторингу зараз розглядаються як основні кроки для захисту протоколів та коштів користувачів.
Сектор децентралізованих фінансів (Defi) стикається з одним із найскладніших років, а подвиги зростають, щоб записати максимум у 2025 році. Той самий жертва, Абракадабра, зазнав порушення ефіру в розмірі 13 мільйонів доларів (ETH) 25 березня 2025 рокупісля того, як зловмисники експлуатували складні вади логіки, поховані глибоко в його розумній архітектурі контракту.
https://t.co/mbock0j3el страждає на порушення безпеки ETH в розмірі 13 мільйонів доларів, націлене @Gmx_io -Вийні басейни, що відзначають свою другу велику експлуатацію цього року після хакера в розмірі 6,49 мільйонів доларів у січні.#Defi #Cryptohackhttps://t.co/5afl2t2fsy
– Cryptonews.com (@cryptonews) 25 березня 2025 року
Експозиції націлюють на басейни токенів GMX і зливали 6 260 ETH. На відміну від загальних вразливих місць, пов’язаних з арифметичними помилками або контролем доступу, ця атака використовує багатоетапну логіку транзакцій, що ускладнює виявлення під час аудитів.
Це був другий головний подвигу року Абракадабри Інцидент у розмірі 6,49 мільйонів доларів у січні 2024 року, який дестабілізував свої магічні гроші в Інтернеті (MIM) StableCoin. Напад включав кілька «котл» на Ethereum.
Гроші Abracadabra в кризі, як 6,5 мільйона доларів криптовалюта посилають ударні хвилі через спільноту Defi
Популярні протокол кредитування Ethereum Abracadabra Money стали жертвою нападу платформи 30 січня.#Cryptonews #Newshttps://t.co/fonfnjjade
– Cryptonews.com (@cryptonews) 31 січня 2024 року
Пізніше Blockchain Sleuths Cyvers Alerts виявив, що хакер використовував 1 ETH від Tornado Cash, санкціонованого змішувача конфіденційності, для фінансування операції, врешті -решт відкинувши 2740 ETH та переміщуючи 4 мільйони доларів на новий гаманець.
Атакадабра – це частина більш широкої тенденції ескалації криптовалют. За ланцюгом, У період з січня по червень 2025 року було викрадено понад 2,17 мільярдамайже узгоджуючи всі загальні втрати 2024 року. Certik поставив цю цифру ще вище, на 2,47 мільярда доларів, що значною мірою спричинив 1,5 мільярда доларів Bybit Hack – один із найбільших порушень біржі в історії.
Щомісяця хаки спричинили приблизно 127,06 мільйонів доларів втрат у вересні 2025 року. Хоча цей показник становить 22% падіння порівняно з 163 мільйонами доларів США, майже 20 основних подвигів все ще були зафіксовані. Навіть зі зниженням активність експлуатації залишається високою, коли втрати в вересні перевищують 142 мільйони доларів у липні.
Швейсборг потрапив на $ 41,5 млн. $ Sol Злом після компромісу API на тлі каскаду криптовалютних збоїв, включаючи подвиги NEMO та Aqua.#Cryptohack #Соланаhttps://t.co/ztul2s0yxv
– Cryptonews.com (@cryptonews) 8 вересня 2025 року
Оскільки втрати середнього року 2025 року вже перевершили 2,2 мільярда доларів, викрадені у всьому 2024 році, аналітики попереджають, що без більш сильних заходів безпеки цього року може бути серед найгіршим в історії криптовалюти за порушеннями.
Пост Абракадабра проклята? Третій головний Defi Hack цього року SIPHONS Ще 1,8 млн доларів з’явився першим на Cryptonews.