アブラカダブラは2024年以降、3回目の重大なDeFiハッキングの犠牲者となり、攻撃者がクック関数の脆弱性を利用して180万ドルを盗みました。
Magic Internet Money (MIM) ステーブルコインは、DeFiレンディングプロトコルのAbracadabraに基づいており、最近約180万ドルのハッキング被害に遭いました。これは2024年以降、プラットフォームの3回目の大規模な違反です。
攻撃者は、単一の取引内でいくつかの操作を実行するAbracadabraのクック機能の論理的欠陥を利用しました。
この抜け穴は、過剰な借入を回避するための債務不履行チェックを回避しました。攻撃者は、6つのアドレスを使用してクック関数に6回呼び出しを行うことによって、この脆弱性を悪用し、プロトコルから179万MIMトークンを奪いました。
根本的な弱点は、調理操作がすべて同じステータスを持ついくつかのプリセットアクションを実行する方法です。
プロセスの機能のアクション5は、発生した際に支払能力チェックフラグを引き起こします。しかし、次の操作0は内部更新関数が空であるため、このフラグをクリアし、最後の支払能力チェックに直接進みます。
この過剰借入は攻撃者に自由を与えました。盗まれたMIMのトークンは急いで変換され、Tornado Cashを使用して痕跡を消すためにマネーロンダリングされ、一部の収益はETHに変換されました。
Abracadabraの最近のハッキングは唯一のものではありません。このプロトコルは以前に2回攻撃を受けており、2024年1月に650万ドルの損失をもたらし、2025年3月には約$13 百万ドルの損失を引き起こしました。これらの事件は、攻撃者によってウォレットを空にするために悪用された高度なスマートコントラクトの脆弱性に関連しています。
最近の侵害の後、アブラカダブラの分散型自律組織(DAO)は迅速に対応しました
プラットフォームを安定させるために、彼らは露出した契約を修正し、市場から盗まれたMIMを買い戻しました。
X上で、DAOの代表者0xMerlinはユーザーに対して、攻撃が自分たちの資金に直接影響を与えなかったこと、そして内部セキュリティを強化していることを伝えました。
これはDeFiにおけるスマートコントラクトのセキュリティに疑問を呈する三回目の違反です。
アナリストはまた、規制当局が厳格に支払い能力のチェックを適用し、マルチアクション取引におけるこの種の悪戯を防ぐために取引状況を独立して検証する必要があると指摘しています。
