«Abracadabra» зазнає третьої DeFi-атаки: хакери викрали $1,7 млн

Написано
Oluwapelumi Adejumo

Відредаговано
Mohammad Shahid

05 жовтень 2025 17:00 EET

Довіра

Abracadabra, провідна платформа DeFi-кредитування, зазнала третього великого експлойту за два роки, втративши близько 1,7 мільйона доларів.
Експерти з безпеки заявили, що зловмисник скористався вразливістю смартконтракту, щоб обійти перевірки платоспроможності та вивести кошти.
Тим часом команда проєкту призупинила всі контракти та планує використати резерви децентралізованої автономної організації (DAO) для викупу викрадених токенів MIM.

DeFi-проєкт Abracadabra постраждав від нового експлойту, який вивів із його платформи близько $1,7 млн.

Фірма з безпеки блокчейну Go Security позначила витік 4 жовтня і підтвердила, що зловмисники вже відмили близько 51 ETH через Tornado Cash. На момент публікації звіту в гаманці зловмисника (ідентифікований як 0x1AaaDe) все ще зберігалося близько 344 ETH на суму приблизно 1,55 мільйона доларів.

Як експлуатували абракадабру втретє

Дослідник безпеки Вейлін Лі перевірив експлойт і пояснив, що зловмисник маніпулював змінними смарт-контракту Abracadabra , щоб обійти перевірку платоспроможності.

Це дозволило їм позичити активи понад запланований ліміт, що спонукало команду Abracadabra призупинити всі контракти, щоб запобігти подальшим збиткам.

Інша аудиторська фірма блокчейну, Phalcon, простежила першопричину в несправній логічній послідовності в функції приготування їжі на платформі. Це механізм, який дозволяє користувачам виконувати кілька заздалегідь визначених дій в одній транзакції.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

За даними фірми, зловмисник здійснив дві операції, які порушили ключові запобіжні заходи.

Перша, відома як дія 5, ініціювала процес запозичення, який повинен був пройти перевірку платоспроможності. Друга, названа дією 0, діяла як порожня функція оновлення, яка переписала прапорець перевірки та пропустила останній крок перевірки.

Зловмисник злив понад 1,79 мільйона токенів MIM, повторивши цю схему на шести різних адресах.

Станом на час публікації “Абракадабра” ще не прокоментувала інцидент публічно. Примітно, що офіційний акаунт проєкту X зберігав мовчання з початку вересня.

Однак Go Security повідомила, що команда Abracadabra підтвердила в Discord, що використає резервні кошти DAO для викупу постраждалої пропозиції MIM.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Тим часом, якщо це підтвердиться, останній інцидент стане третім експлойтом проти Абракадабри менш ніж за два роки.

У січні 2024 року платформа втратила 6,49 мільйона доларів у хаку , який ненадовго відокремив стейблкоїн MIM від долара США. Другий експлойт у березні 2025 року злив ще $13 млн з контрактів на казани, після чого команда запропонувала хакеру винагороду в розмірі 20%.

Повторення таких витоків порушує нові питання щодо безпеки протоколу DeFi та стійкості його крос-чейн архітектури кредитування.

Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Політика конфіденційності та Дисклеймер були оновлені.