去中心化金融(DeFi)项目Abracadabra遭遇了一个新的漏洞,从其平台上流失了约170万美元,这是该协议在不到两年的时间里发生的第三次重大安全事件。
区块链安全公司Go Security于10月4日报告的这一漏洞再次引发了人们对DeFi协议安全性及其跨链借贷架构可持续性的质疑。
。🚨 GoPlus 安全警报:借贷和稳定币平台 Abracadabra ( $SPELL) 似乎再次遭到攻击,损失约 177 万美元。
- GoPlus Security 🚦 (@GoPlusSecurity) 2025 年 10 月 5 日
其官方 Twitter 帐户 @@MIM_Spell 自 9 月 9 日以来一直未更新。
攻击者地址:... pic.twitter.com/IjECKsOCWX
漏洞利用与攻击途径的详细信息
Go Security 证实,攻击者在漏洞发生后已经通过 Tornado Cash 洗了大约 51 个 ETH。
安全研究员李伟林已经验证了该漏洞,并解释说攻击者操纵了 Abracadabra 的智能合约变量,绕过了信用检查。这种操纵使他们能够借入超出预期限额的资产,促使 Abracadabra 团队暂停所有合约,以防止进一步的损失。
另一家区块链审计公司 Phalcon 将根本原因追溯到平台功能中的一个错误逻辑序列。这是一种允许用户在单笔交易中执行多个预定义操作的机制。
。.@MIM_Spell 几小时前遭到攻击,造成约 170 万美元的损失。根本原因在于 Cook 函数的执行逻辑存在缺陷,该函数允许用户在单个事务中执行多个预定义操作。具体来说,这些操作共享一个共同的... pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) 2025 年 10 月 4 日
据该公司称,攻击者执行了两项绕过关键保护措施的操作。
第一个操作称为操作 5,启动了本应通过偿付能力检查的贷款流程。第二个操作称为操作 0,它充当了一个空更新函数,重写了控制标志,跳过了最后的验证步骤。攻击者通过在六个不同的地址中重复这种模式,盗取了 179 万多个 MIM 令牌。
协议安全的动荡历史
如果得到验证,最近的这起事件将是继之前两起更严重的漏洞事件之后的又一起。2024 年 1 月,该平台在一次黑客攻击中损失了 649 万美元,该黑客攻击导致 稳定币 MIM 从美元中短暂贬值。
2025年3月的第二次漏洞利用又从其cauldron合约中盗取了1300万美元,随后该团队向黑客提供了20%的奖励。
截至记者发稿时,Abracadabra尚未对这一事件发表公开评论,而该项目官方X账户自9月初以来一直保持沉默。
不过,Go Security 报道称,Abracadabra 团队已在 Discord 上确认,他们将使用 DAO 的储备资金回购受影响的 MIM 供应。
