Abracadabra 面臨第三次 DeFi 漏洞攻擊，駭客竊取 170 萬美元

TLDR

• Abracadabra 的第三次漏洞利用導致 170 萬美元損失，攻擊者利用了智能合約缺陷。
• 駭客在攻擊 Abracadabra 後通過 Tornado Cash 洗錢。
• Abracadabra 暫停合約以限制最新漏洞造成的進一步損失。
• Abracadabra 在 2024 年和 2025 年的先前駭客攻擊導致了 1950 萬美元的損失。

去中心化金融（DeFi）協議 Abracadabra 遭遇了第三次重大漏洞攻擊。駭客從平台中竊取了約 170 萬美元，這對該項目來說是又一次挫折。這次漏洞最初是由區塊鏈安全公司 Go Security 於 2025 年 10 月 4 日發現的。此次攻擊發生在之前該平台損失數百萬美元的事件之後，引發了對其安全措施的擔憂。

攻擊是如何展開的

10 月 4 日，Go Security 報告了最新的漏洞，揭示了駭客成功利用了 Abracadabra 智能合約中的一個漏洞。攻擊者操縱了平台的合約變數，使他們能夠繞過償付能力檢查。這種利用使他們能夠借入超出預期限制的資產，導致該協議遭受重大損失。

安全研究員 Weilin Li 確認了這次漏洞，解釋說漏洞是由於智能合約中的邏輯錯誤造成的。攻擊利用了 Abracadabra 的 cook 函數中的序列錯誤，該函數旨在在單一交易中執行多個操作。根據另一家區塊鏈審計公司 Phalcon 的說法，這次漏洞利用是通過兩個特定操作實現的。

第一個稱為「操作 5」，觸發了旨在通過償付能力檢查的借款流程。第二個標記為「操作 0」，通過覆蓋檢查標誌繞過了驗證步驟。攻擊者在六個不同的地址上重複了這個過程，在此過程中竊取了超過 179 萬個 MIM 代幣。

Abracadabra 團隊的回應

在漏洞被利用後，Abracadabra 團隊迅速採取行動防止進一步損害。他們暫停了平台上的所有合約以限制額外損失。在報告時，駭客的錢包中包含約 344 ETH，價值約 155 萬美元，儘管被盜資金已經部分通過 Tornado Cash 洗錢。

Go Security 指出，Abracadabra 團隊在 Discord 上確認將使用其 DAO 儲備資金回購受影響的 MIM 代幣。然而，截至 10 月 5 日，Abracadabra 的官方社交媒體渠道，包括其 X 帳戶，對此事件保持沉默。這種缺乏溝通的情況引發了對該項目持續透明度的擔憂。

先前的漏洞引發擔憂

這次漏洞並非 Abracadabra 首次成為攻擊者的目標。2024 年 1 月，該平台遭受了一次駭客攻擊，導致 649 萬美元的損失，並短暫導致 MIM 穩定幣與美元脫鉤。2025 年 3 月的第二次漏洞利用從 Abracadabra 的 cauldron 合約中額外竊取了 1300 萬美元，導致團隊向駭客提供 20% 的賞金以換取被盜資金。

在相對較短的時間內反覆發生此類漏洞，引發了對該平台安全性的持續質疑。儘管團隊努力解決漏洞，這些反覆發生的攻擊已經損害了該項目的聲譽，並引發了對其跨鏈借貸系統可持續性的擔憂。

Abracadabra 安全的未來

隨著第三次漏洞利用增加到不斷增長的安全問題列表中，DeFi 領域正在質疑 Abracadabra 計劃如何加強其協議。雖然團隊對當前漏洞的回應似乎迅速，但這些行動是否足以恢復用戶信任並防止進一步漏洞，仍有待觀察。

Abracadabra 面臨的持續挑戰突顯了在快速發展的 DeFi 領域中強大安全措施的重要性。目前，該平台的未來安全策略可能會繼續受到審查，因為開發者和用戶都在等待項目團隊提供更清晰的答案。

這篇文章《Abracadabra 面臨第三次 DeFi 漏洞，駭客竊取 170 萬美元》首次發表於 CoinCentral。