Dự án DeFi Abracadabra vừa bị khai thác mới, mất khoảng 1.7 triệu USD từ nền tảng của mình.
Công ty bảo mật blockchain Go Security đã phát hiện vụ vi phạm vào ngày 04/10 và xác nhận rằng kẻ tấn công đã rửa khoảng 51 ETH qua Tornado Cash. Tại thời điểm viết bài, ví của kẻ tấn công (được xác định là 0x1AaaDe) vẫn giữ khoảng 344 ETH, trị giá khoảng 1.55 triệu USD.
SponsoredCách Abracadabra bị khai thác lần thứ ba
Nhà nghiên cứu bảo mật Weilin Li đã xác nhận vụ khai thác và giải thích rằng kẻ tấn công đã thao túng các biến trong hợp đồng thông minh của Abracadabra để vượt qua kiểm tra khả năng thanh toán.
Điều này cho phép họ vay tài sản vượt quá giới hạn dự định, khiến đội ngũ Abracadabra phải tạm dừng tất cả các hợp đồng để ngăn chặn tổn thất thêm.
Một công ty kiểm toán blockchain khác, Phalcon, đã truy tìm nguyên nhân gốc rễ là do một chuỗi logic sai trong chức năng cook của nền tảng. Đây là một cơ chế cho phép người dùng thực hiện nhiều hành động được định trước trong một giao dịch.
Theo công ty, kẻ tấn công đã thực hiện hai thao tác ghi đè các biện pháp bảo vệ quan trọng.
SponsoredThao tác đầu tiên, được gọi là hành động 5, khởi động quá trình vay mượn mà đáng lẽ phải vượt qua các kiểm tra khả năng thanh toán. Thao tác thứ hai, gọi là hành động 0, hoạt động như một chức năng cập nhật trống, ghi đè cờ kiểm tra và bỏ qua bước xác nhận cuối cùng.
Kẻ tấn công đã rút hơn 1.79 triệu token MIM bằng cách lặp lại mô hình này trên sáu địa chỉ khác nhau.
Tính đến thời điểm hiện tại, Abracadabra vẫn chưa công khai bình luận về sự cố này. Đáng chú ý, tài khoản X chính thức của dự án đã im lặng từ đầu tháng 09.
Tuy nhiên, Go Security báo cáo rằng đội ngũ Abracadabra đã xác nhận trên Discord rằng họ sẽ sử dụng quỹ dự trữ DAO để mua lại nguồn cung MIM bị ảnh hưởng.
Trong khi đó, nếu được xác nhận, sự cố mới nhất này sẽ đánh dấu lần khai thác thứ ba chống lại Abracadabra trong vòng chưa đầy hai năm.
Vào tháng 01/2024, nền tảng mất 6.49 triệu USD trong một vụ hack khiến stablecoin MIM mất giá so với đồng USD trong thời gian ngắn. Một vụ khai thác thứ hai vào tháng 03/2025 đã rút thêm 13 triệu USD từ các hợp đồng cauldron của nó, sau đó đội ngũ đã đề nghị kẻ tấn công một khoản tiền thưởng 20%.
Sự tái diễn của các vi phạm như vậy đặt ra câu hỏi mới về an ninh của giao thức DeFi và tính bền vững của kiến trúc cho vay chuỗi chéo của nó.