Abracadabra devient la victime de son troisième hack DeFi significatif après 2024 alors que les attaquants volent 1,8 million de dollars en utilisant une vulnérabilité de fonction de cuisson.
La stablecoin Magic Internet Money (MIM), qui est basée sur le protocole de prêt DeFi Abracadabra, a récemment été piratée pour un montant d'environ 1,8 million de dollars. Il s'agit de la troisième énorme violation de la plateforme depuis 2024.
L'attaquant a profité d'un défaut logique de la fonctionnalité de cuisson d'Abracadabra, qui exécute plusieurs opérations dans une seule transaction.
Cette faille a contourné les vérifications d'insolvabilité qui étaient destinées à garantir l'évitement d'un emprunt excessif. L'attaquant a exploité cette vulnérabilité en effectuant six appels à la fonction cook en utilisant six adresses, ce qui a drainé 1,79 million de tokens MIM du protocole.
Les dysfonctionnements de la fonctionnalité de fraude massive entraînent des pertes.
La faiblesse fondamentale réside dans la façon dont l'opération de cuisson exécute plusieurs actions prédéfinies qui ont toutes le même statut.
L'action 5 du processus de la fonction provoque un indicateur de vérification de solvabilité lorsqu'elle se produit. Cependant, la prochaine opération 0 efface cet indicateur car elle a une fonction de mise à jour interne vide, ce qui signifie qu'elle passe directement à la dernière vérification de solvabilité.
Cet emprunt excessif a donné la liberté à l'attaquant. Les tokens volés de MIM ont été rapidement échangés et blanchis en utilisant Tornado Cash pour effacer toute trace, et une partie des bénéfices a été convertie en ETH.
La troisième grande aventure fait retentir les cloches de DeFi.
Le récent piratage d'Abracadabra n'est pas le seul. Le protocole a subi deux attaques auparavant, l'une en janvier 2024, entraînant une perte de 6,5 millions de dollars, et une autre en mars 2025, entraînant une perte d'environ $13 millions. Les deux incidents sont liés à des vulnérabilités sophistiquées des contrats intelligents exploitées par des attaquants pour vider les portefeuilles.
L'organisation autonome décentralisée (DAO) d'Abracadabra a réagi rapidement après la récente violation.
Pour stabiliser la plateforme, ils ont corrigé les contrats exposés et ont racheté sur le marché le MIM volé.
Sur X, le représentant du DAO 0xMerlin a informé les utilisateurs que l'attaque n'a pas directement affecté leurs propres fonds et qu'ils renforcent leur sécurité interne.
C'est la troisième violation qui soulève des questions sur la sécurité des contrats intelligents dans le DeFi.
Les analystes soulignent également que les régulateurs devraient appliquer strictement des vérifications de solvabilité et vérifier de manière indépendante les statuts des transactions pour prévenir ce type de malversation dans les transactions multi-actions.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
