这个DeFi协议被黑客攻击，损失近200万美元

DeFi项目Abracadabra遭遇新一轮攻击，平台损失约170万美元。

区块链安全公司Go Security于10月4日标记该漏洞并确认，攻击者已通过Tornado Cash清洗约51枚ETH。报道时，攻击者钱包（标识为0x1AaaDe）仍持有约344枚ETH，价值约155万美元。

Abracadabra第三次漏洞攻击始末

安全研究员Weilin Li核实攻击细节并解释称，攻击者通过操纵Abracadabra智能合约变量绕过了偿付能力检查。

这使得他们能够超额借出资产，迫使Abracadabra团队暂停所有合约以防止损失扩大。

另一家区块链审计公司Phalcon追踪发现，根本原因在于平台cook函数中的逻辑顺序错误。该机制允许用户在单笔交易中执行多个预定义操作。

据该公司分析，攻击者执行了两项覆盖关键防护机制的操作：

第一项操作（标记为action 5）启动借贷流程，本应通过偿付能力检查；第二项操作（标记为action 0）作为空更新函数，重写了检查标识并跳过了最终验证步骤。

攻击者通过六个不同地址重复该模式，最终盗取超179万枚MIM代币。

截至发稿，Abracadabra尚未公开置评。值得注意的是，该项目官方X账号自9月初以来一直保持沉默。

但Go Security披露，Abracadabra团队在Discord确认将动用DAO储备金回购受影响的MIM代币。

若事件属实，这将是该协议两年内第三次遭遇攻击。2024年1月，平台因漏洞损失649万美元，导致MIM稳定币短暂脱钩美元；2025年3月第二次攻击又从其cauldron合约抽走1300万美元，事后团队向黑客提供20%漏洞赏金。

安全事件的频发再度引发对该DeFi协议安全性及其跨链借贷架构可持续性的质疑。