Il progetto DeFi Abracadabra ha subito un nuovo exploit che ha drenato circa $1,7 milioni dalla sua piattaforma.
La società di sicurezza blockchain Go Security ha segnalato la violazione il 4 ottobre e ha confermato che gli attaccanti avevano già riciclato circa 51 ETH tramite Tornado Cash. Al momento della pubblicazione, il portafoglio dell’attaccante (identificato come 0x1AaaDe) deteneva ancora circa 344 ETH, per un valore approssimativo di $1,55 milioni.
SponsoredCome Abracadabra è stato sfruttato per la terza volta
Il ricercatore di sicurezza Weilin Li ha verificato l’exploit e ha spiegato che l’attaccante ha manipolato le variabili dello smart contract di Abracadabra per bypassare un controllo di solvibilità.
Ciò ha permesso loro di prendere in prestito asset oltre il limite previsto, spingendo il team di Abracadabra a sospendere tutti i contratti per prevenire ulteriori perdite.
SponsoredUn’altra società di audit blockchain, Phalcon, ha tracciato la causa principale a una sequenza logica difettosa nella funzione cook della piattaforma. Questo è un meccanismo che consente agli utenti di eseguire diverse azioni predefinite in una sola transazione.
Secondo la società, l’attaccante ha eseguito due operazioni che hanno sovrascritto le principali misure di sicurezza.
La prima, nota come azione 5, ha avviato un processo di prestito che avrebbe dovuto superare i controlli di solvibilità. La seconda, chiamata azione 0, ha agito come una funzione di aggiornamento vuota che ha riscritto il flag di controllo e saltato il passaggio finale di validazione.
L’attaccante ha drenato più di 1,79 milioni di token MIM ripetendo questo schema su sei indirizzi diversi.
Al momento della pubblicazione, Abracadabra non ha ancora commentato pubblicamente l’incidente. In particolare, l’account ufficiale X del progetto è rimasto silente da inizio settembre.
Tuttavia, Go Security ha riportato che il team di Abracadabra ha confermato su Discord che utilizzerà i fondi di riserva del DAO per riacquistare la fornitura di MIM colpita.
Nel frattempo, se verificato, l’ultimo incidente segnerebbe il terzo exploit contro Abracadabra in meno di due anni.
Nel gennaio 2024, la piattaforma ha perso $6,49 milioni in un hack che ha brevemente depeggato la stablecoin MIM dal dollaro USA. Un secondo exploit nel marzo 2025 ha drenato altri $13 milioni dai suoi contratti calderone, dopo di che il team ha offerto all’hacker una ricompensa del 20%.
La ricorrenza di tali violazioni solleva nuove domande sulla sicurezza del protocollo DeFi e sulla sostenibilità delle sue architetture di prestito cross-chain.