Abracadabra 第三次遭受 DeFi 攻击，黑客盗取 170 万美元

本站报道：

DeFi 项目 Abracadabra 遭遇了新的攻击，导致其平台损失了约 170 万美元。

区块链安全公司 Go Security 于 10 月 4 日报告了此次攻击，并确认攻击者已通过 Tornado Cash 洗钱约 51 ETH。截至发稿时，攻击者的钱包（标识为 0x1AaaDe）仍持有约 344 ETH，价值约 155 万美元。

阿布拉卡达布拉如何第三次被利用

安全研究员李伟林 已验证漏洞并解释说攻击者操纵Abracadabra 的智能合约变量来绕过偿付能力检查。

这使得他们能够借入超出预定限额的资产，促使 Abracadabra 团队暂停所有合同以防止进一步的损失。

另一家区块链审计公司 Phalcon追踪根本原因是平台 Cook 函数中存在逻辑序列错误。Cook 函数是一种允许用户在一次交易中执行多个预定义操作的机制。

据该公司称，攻击者进行了两次超越关键安全措施的操作。

第一个操作称为操作 5，它启动了一个应该通过偿付能力检查的借款流程。第二个操作称为操作 0，它充当一个空的更新函数，重写了检查标志并跳过了最后的验证步骤。

攻击者通过在六个不同的地址重复此模式，窃取了超过 179 万个 MIM 代币。

截至发稿时，Abracadabra 尚未就此事公开发表评论。值得注意的是，该项目的官方 X 账号自 9 月初以来一直保持沉默。

不过，Go Security 报道称，Abracadabra 团队在 Discord 上确认将使用 DAO 储备资金回购受影响的 MIM 供应。

同时，如果得到证实，最新事件将是两年内第三次针对 Abracadabra 的攻击。

2024年1月，该平台黑客攻击损失 649 万美元短暂地脱离了MIM美元的稳定币。2025 年 3 月的第二次攻击又从其大锅合约中榨干了 1300 万美元，之后该团队向黑客提供了 20% 的赏金。

此类违规行为的再次发生引发了人们对DeFi 协议的安全性以及其跨链借贷架构的可持续性。