Abracadabra torna-se vítima do seu terceiro hack DeFi significativo após 2024, enquanto os atacantes roubam $1.8 milhões usando uma vulnerabilidade na função cook.
A moeda estável Magic Internet Money (MIM), que é baseada no protocolo de empréstimos DeFi Abracadabra, foi recentemente hackeada no valor de aproximadamente $1,8 milhões. Esta é a terceira grande violação da plataforma desde 2024.
O atacante aproveitou um defeito lógico da funcionalidade de cozinha Abracadabra, que executa várias operações dentro de uma única transação.
Esta brecha evitou os controles de insolvência que deveriam garantir a evitação de empréstimos excessivos. O atacante explorou esta vulnerabilidade fazendo seis chamadas à função cook usando seis endereços, o que drenou 1,79 milhões de tokens MIM do protocolo.
Funcionalidades fraudulentas do Cook falham causando enormes perdas.
A fraqueza fundamental é a maneira como a operação de cozinha realiza várias ações predefinidas que têm todas o mesmo estado.
A Ação 5 do processo da função provoca um sinalizador de verificação de solvência quando ocorre. No entanto, a próxima operação 0 limpa este sinalizador, pois tem uma função de atualização interna vazia, o que significa que vai diretamente para a última verificação de insolvência.
Este sobreempréstimo deu liberdade ao atacante. Os tokens roubados de MIM foram apressadamente convertidos e lavados usando o Tornado Cash para apagar quaisquer vestígios, e parte dos lucros foi convertida em ETH.
A Terceira Grande Aventura Levanta os Sinos do DeFi.
O recente ataque ao Abracadabra não é o único. O protocolo sofreu dois ataques antes, um em janeiro de 2024, causando uma perda de $6,5 milhões, e outro em março de 2025, resultando numa perda de cerca de $13 milhões. Ambos os incidentes estão relacionados com vulnerabilidades sofisticadas de contratos inteligentes exploradas por atacantes para esvaziar carteiras.
A organização autônoma descentralizada (DAO) da Abracadabra respondeu prontamente após a recente violação.
Para estabilizar a plataforma, corrigiram os contratos expostos e compraram do mercado o MIM roubado.
No X, o representante da DAO 0xMerlin disse aos usuários que o ataque não afetou diretamente os seus próprios fundos e que estão a reforçar a sua segurança interna.
Esta é a terceira violação que levanta questões sobre a segurança dos contratos inteligentes em DeFi
Os analistas também destacam que os reguladores devem aplicar rigorosamente verificações de solvência e verificar independentemente os estados das transações para prevenir esse tipo de travessura em transações de múltiplas ações.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
