Lừa đảo tiền điện tử: Abracadabra bị hack lần nữa: $1.8 triệu bị mất trong vụ vi phạm DeFi mới nhất

Abracadabra trở thành nạn nhân của cuộc tấn công DeFi lớn thứ ba sau năm 2024 khi kẻ tấn công đánh cắp 1.8 triệu đô la bằng cách lợi dụng lỗ hổng trong hàm cook.

Stablecoin Magic Internet Money (MIM), dựa trên giao thức cho vay DeFi Abracadabra, gần đây đã bị hack với số tiền khoảng 1,8 triệu đô la. Đây là vụ vi phạm lớn thứ ba của nền tảng này kể từ năm 2024.

Kẻ tấn công đã tận dụng một lỗi logic của tính năng nấu ăn Abracadabra, tính năng này thực hiện nhiều thao tác trong một giao dịch duy nhất.

Lỗ hổng này đã lách các kiểm tra phá sản nhằm đảm bảo tránh việc vay mượn quá mức. Kẻ tấn công đã khai thác lỗ hổng này bằng cách thực hiện sáu cuộc gọi tới hàm cook bằng cách sử dụng sáu địa chỉ, điều này đã rút 1,79 triệu token MIM từ giao thức.

Tính năng nấu ăn gian lận gặp sự cố dẫn đến tổn thất lớn.

Điểm yếu cơ bản là cách mà thao tác nấu ăn thực hiện nhiều hành động đã được cài đặt trước, tất cả đều có cùng một trạng thái.

Hành động 5 của quy trình chức năng kích hoạt cờ kiểm tra khả năng thanh toán khi nó xảy ra. Tuy nhiên, thao tác tiếp theo 0 xóa cờ này vì nó có chức năng cập nhật nội bộ trống, điều này có nghĩa là nó đi thẳng đến kiểm tra khả năng thanh toán cuối cùng.

Việc vay mượn quá mức này đã mang lại tự do cho kẻ tấn công. Những token MIM bị đánh cắp đã nhanh chóng được chuyển đổi và rửa tiền bằng cách sử dụng Tornado Cash để xóa mọi dấu vết, và một phần trong số tiền thu được đã được chuyển đổi thành ETH.

Cuộc Phiêu Lưu Lớn Thứ Ba Nâng Cao Chuông DeFi.

Cuộc tấn công gần đây của Abracadabra không phải là vụ duy nhất. Giao thức này đã bị tấn công hai lần trước đó, một lần vào tháng 1 năm 2024, gây thiệt hại 6,5 triệu đô la, và một lần vào tháng 3 năm 2025, dẫn đến thiệt hại khoảng $13 triệu. Cả hai sự cố này đều liên quan đến các lỗ hổng hợp đồng thông minh tinh vi đã bị kẻ tấn công khai thác để làm rỗng ví.

Tổ chức tự trị phi tập trung (DAO) của Abracadabra đã phản hồi nhanh chóng sau vụ vi phạm gần đây.

Để ổn định nền tảng, họ đã sửa chữa các hợp đồng bị lộ và mua lại từ thị trường số MIM bị đánh cắp.

Trên X, đại diện DAO 0xMerlin đã thông báo cho người dùng rằng cuộc tấn công không ảnh hưởng trực tiếp đến quỹ của họ và họ đang củng cố bảo mật nội bộ.

Đây là vi phạm thứ ba gây ra câu hỏi về sự an toàn của hợp đồng thông minh trong DeFi

Các nhà phân tích cũng nhấn mạnh rằng các cơ quan quản lý nên áp dụng nghiêm ngặt các kiểm tra khả năng thanh toán và xác minh độc lập tình trạng giao dịch để ngăn chặn loại hành vi xấu này trong các giao dịch đa hành động.