Крипто шахрайство: Abracadabra знову зламано: $1.8M втрачені в останньому DeFi зламі
Abracadabra стає жертвою свого третього значного DeFi хаку після 2024 року, оскільки зловмисники викрали 1,8 мільйона доларів, використовуючи вразливість функції cook.
Стейблкоїн Magic Internet Money (MIM), який базується на DeFi кредитному протоколі Abracadabra, нещодавно був зламаний на суму приблизно 1,8 мільйона доларів. Це третє велике порушення платформи з 2024 року.
Зловмисник скористався логічним дефектом функції приготування Abracadabra, яка виконує кілька операцій в межах однієї транзакції.
Ця лазівка обійшла перевірки на неплатоспроможність, які мали забезпечити уникнення надмірного запозичення. Зловмисник використав цю вразливість, зробивши шість викликів до функції cook, використовуючи шість адрес, що призвело до виведення 1,79 мільйона токенів MIM з протоколу.
Несправності шахрайської функції Cook призвели до масових втрат.
Основна слабкість полягає в тому, як операція приготування їжі виконує кілька заздалегідь визначених дій, які всі мають один і той же статус.
Дія 5 процесу функції викликає прапорець перевірки платоспроможності, коли це відбувається. Однак наступна операція 0 очищає цей прапорець, оскільки вона має порожню внутрішню функцію оновлення, що означає, що вона відразу переходить до останньої перевірки неплатоспроможності.
Це перевищене запозичення надало свободу нападнику. Вкрадені токени MIM були поспішно обернуті та відмиті за допомогою Tornado Cash, щоб стерти будь-які сліди, а частина доходів була перетворена на ETH.
Третя Велика Пригода Підносить ДеФі Дзвони.
Недавній хак Abracadabra не є єдиним. Протокол зазнав двох атак раніше, одна з яких сталася в січні 2024 року, що призвело до втрат у розмірі 6,5 мільйона доларів, а інша в березні 2025 року, що призвела до втрат приблизно $13 мільйона. Обидва ці інциденти пов'язані з складними вразливостями смарт-контрактів, які були використані злочинцями для виведення коштів з гаманців.
Децентралізована автономна організація (DAO) Abracadabra швидко відреагувала після нещодавнього порушення.
Щоб стабілізувати платформу, вони виправили вразливі контракти та викупили з ринку вкрадений MIM
На X представник DAO 0xMerlin повідомив користувачам, що атака не вплинула безпосередньо на їхні власні кошти і що вони зміцнюють свою внутрішню безпеку.
Це третє порушення, яке викликає питання щодо безпеки смарт-контрактів у DeFi
Аналітики також підкреслюють, що регулятори повинні суворо застосовувати перевірки платоспроможності та незалежно перевіряти статуси транзакцій, щоб запобігти такому роду шахрайству в багатодійсних транзакціях.