Das DeFi-Projekt Abracadabra hat einen neuen Angriff erlitten, bei dem etwa 1,7 Mio. USD von seiner Plattform abgezogen wurden.
Die Blockchain-Sicherheitsfirma Go Security meldete den Vorfall am 4. Oktober und bestätigte, dass die Angreifer bereits etwa 51 ETH durch Tornado Cash gewaschen hatten. Zum Zeitpunkt der Berichterstattung hielt die Wallet des Angreifers (identifiziert als 0x1AaaDe) noch etwa 344 ETH, was ungefähr 1,55 Mio. USD entspricht.
SponsoredWie Abracadabra zum dritten Mal ausgenutzt wurde
Der Sicherheitsforscher Weilin Li bestätigte den Angriff und erklärte, dass der Angreifer die Variablen des Abracadabra-Smart-Contracts manipulierte, um eine Solvenzprüfung zu umgehen.
Dies ermöglichte es ihnen, Vermögenswerte über das beabsichtigte Limit hinaus zu leihen, was das Abracadabra-Team dazu veranlasste, alle Verträge zu pausieren, um weitere Verluste zu verhindern.
Eine weitere Blockchain-Audit-Firma, Phalcon, verfolgte die Ursache auf eine fehlerhafte Logiksequenz in der Cook-Funktion der Plattform zurück. Dies ist ein Mechanismus, der es Nutzern ermöglicht, mehrere vordefinierte Aktionen in einer Transaktion auszuführen.
Laut der Firma führte der Angreifer zwei Operationen durch, die wichtige Schutzmaßnahmen außer Kraft setzten.
SponsoredDie erste, bekannt als Aktion 5, initiierte einen Leihprozess, der eigentlich Solvenzprüfungen bestehen sollte. Die zweite, genannt Aktion 0, fungierte als leere Update-Funktion, die das Prüfungsflag überschieb und den letzten Validierungsschritt übersprang.
Der Angreifer zog mehr als 1,79 Mio. MIM-Token ab, indem er dieses Muster über sechs verschiedene Adressen hinweg wiederholte.
Zum Zeitpunkt der Veröffentlichung hat Abracadabra noch keine öffentliche Stellungnahme zu dem Vorfall abgegeben. Bemerkenswert ist, dass der offizielle X-Account des Projekts seit Anfang September schweigt.
Allerdings berichtete Go Security, dass das Abracadabra-Team auf Discord bestätigte, dass es DAO-Reservefonds verwenden würde, um die betroffene MIM-Versorgung zurückzukaufen.
Unterdessen würde der jüngste Vorfall, falls er bestätigt wird, den dritten Angriff auf Abracadabra in weniger als zwei Jahren markieren.
Im Januar 2024 verlor die Plattform 6,49 Mio. USD bei einem Hack, der den MIM-Stablecoin kurzzeitig vom US-Dollar entkoppelte. Ein zweiter Angriff im März 2025 zog weitere 13 Mio. USD aus seinen Kesselverträgen ab, woraufhin das Team dem Hacker eine Belohnung von 20 Prozent anbot.
Das wiederholte Auftreten solcher Angriffe wirft neue Fragen zur Sicherheit des DeFi-Protokolls und zur Nachhaltigkeit seiner Cross-Chain-Lending-Architekturen auf.