Angriff auf das DeFi-Kreditprotokoll Abracadabra
Das DeFi-Kreditprotokoll Abracadabra ist erneut Opfer eines Angriffs geworden und hat dabei etwa 1,8 Millionen Dollar in MIM-Token durch einen ausgeklügelten Angriff verloren, der eine Schwachstelle in seiner „cook“-Funktion ausnutzte. Dieser Vorfall markiert den dritten großen Hack, der in diesem Jahr mit Abracadabra in Verbindung steht, und verstärkt die Bedenken hinsichtlich der Sicherheit der Verträge der Plattform.
Anfang Mai hatte das Protokoll 6,5 Millionen MIM zurückgekauft, was etwa die Hälfte der im März verlorenen 13 Millionen Dollar abdeckte. Das Team bestätigte, dass die Benutzerfonds nicht betroffen waren und erklärte, dass ein Teil seiner 19 Millionen Dollar großen Schatzkammer verwendet wurde, um MIM zurückzukaufen und das Angebot zu stabilisieren.
Bemerkenswerterweise zeigen Blockchain-Daten, dass der Angreifer dieselbe Schwachstelle über sechs verschiedene Wallet-Adressen ausnutzte. Durch den Aufruf der „cook“-Funktion mit einer spezifischen Aktionssequenz lieh sich der Angreifer 1.793.755 MIM-Token und tauschte diese später gegen andere Vermögenswerte, was ihm insgesamt etwa 1,7 bis 1,8 Millionen Dollar einbrachte. Sicherheitsanalysten bestätigten, dass der Angriff nicht auf einen Reentrancy-Fehler oder eine typische Flash-Loan-Schwachstelle zurückzuführen war, sondern vollständig aus einem logischen Fehler im Code resultierte. Die betroffene Transaktion und die zugehörigen Wallets wurden von Überwachungsplattformen markiert.
Das Entwicklungsteam von Abracadabra stellte fest, dass die DAO den Angriff identifiziert und gemindert hat und keine weiteren Fonds oder Benutzer gefährdet sind. Erste Vorschläge von Sicherheitsexperten umfassen die Implementierung isolierter Statusprüfungen für jede Aktion sowie die Hinzufügung obligatorischer Solvenzvalidierungen nach allen Kreditoperationen.
Wie die fehlerhafte „cook“-Funktion im Abracadabra-Hack ausgenutzt wurde
Laut der Blockchain-Sicherheitsfirma BlockSec zielte der Angriff auf die „cook“-Funktion von Abracadabra ab. Diese Funktion soll es Benutzern ermöglichen, mehrere vordefinierte Operationen in einer einzigen Transaktion auszuführen. Während dieses Design darauf abzielt, die Effizienz zu verbessern, schuf es auch eine gefährliche Schwachstelle aufgrund der gemeinsamen Statusverfolgung innerhalb der Funktion.
Jede unter der „cook“-Funktion durchgeführte Aktion teilt sich eine einzige Statusvariable. Wenn eine Kreditoperation (Aktion = 5) erfolgt, setzt das System ein Flag, das anzeigt, dass am Ende der Transaktion eine Solvenzprüfung erforderlich ist. Wenn jedoch eine andere Aktion (Aktion = 0) folgt, wird eine interne Hilfsfunktion namens „additionalCookAction“ aufgerufen. Diese Hilfsfunktion ist effektiv leer und setzt das Solvenz-Flag auf falsch zurück, wodurch die vorherige Einstellung überschrieben wird. Dieses Versäumnis ermöglichte es den Angreifern, die beiden Aktionen [5, 0] zu kombinieren, um Vermögenswerte zu leihen und gleichzeitig die Solvenzprüfung zu umgehen. Infolgedessen wurde die endgültige Solvenzprüfung nie durchgeführt, was es dem Angreifer ermöglichte, die Protokollmittel abzuziehen.
Analysten warnen, dass Angreifer, während DeFi-Plattformen weiterhin Flexibilität und Komponierbarkeit priorisieren, zunehmend geschickt darin werden, übersehene Abhängigkeiten innerhalb komplexer Logik von Smart Contracts zu identifizieren. Die Stärkung von Testframeworks, die Verbesserung von Code-Überprüfungen und die Implementierung kontinuierlicher Überwachung werden nun als wesentliche Schritte angesehen, um Protokolle und Benutzerfonds zu schützen.
DeFi-Hacks steigen 2025
Der Sektor der dezentralen Finanzen (DeFi) steht vor einem der härtesten Jahre bisher, da die Ausnutzungen 2025 Rekordhöhen erreichen. Das gleiche Opfer, Abracadabra, erlitt am 25. März 2025 einen Verlust von 13 Millionen Dollar in Ether (ETH), nachdem Angreifer komplexe Logikfehler, die tief in seiner Smart-Contract-Architektur vergraben waren, ausgenutzt hatten. Der Angriff zielte auf GMX-Token-Pools ab und entleerte 6.260 ETH.
Im Gegensatz zu häufigen Schwachstellen, die mit arithmetischen Fehlern oder Zugangskontrollen verbunden sind, nutzte dieser Angriff mehrstufige Transaktionslogik, was es außergewöhnlich schwierig machte, ihn während von Audits zu erkennen. Das war Abracadabras zweiter großer Angriff des Jahres, nach einem Vorfall im Januar 2024, der 6,49 Millionen Dollar kostete und seine Magic Internet Money (MIM) Stablecoin destabilisierte. Der Angriff betraf mehrere „Kessel“ auf Ethereum. Blockchain-Ermittler Cyvers Alerts enthüllten später, dass der Hacker 1 ETH von Tornado Cash, dem sanktionierten Privacy-Mixer, verwendete, um die Operation zu finanzieren, und schließlich 2.740 ETH abzweigte und 4 Millionen Dollar in eine neue Wallet transferierte.
Der Abracadabra-Angriff ist Teil eines breiteren Trends steigender Krypto-Diebstähle. Laut Chainalysis wurden zwischen Januar und Juni 2025 über 2,17 Milliarden Dollar gestohlen, was fast den gesamten Verlust von 2024 erreicht. CertiK schätzte die Zahl sogar noch höher, bei 2,47 Milliarden Dollar, was hauptsächlich durch den 1,5 Milliarden Dollar schweren Bybit-Hack im Februar angetrieben wurde – einen der größten Börsenangriffe in der Geschichte. Monatlich verursachten Hacks im September 2025 geschätzte Verluste von 127,06 Millionen Dollar. Während die Zahl einen Rückgang von 22 % gegenüber den 163 Millionen Dollar im August darstellt, wurden dennoch fast 20 große Ausnutzungen verzeichnet. Selbst mit dem Rückgang bleibt die Aktivität der Ausnutzungen hoch, wobei die Verluste im September die 142 Millionen Dollar im Juli übersteigen. Mit den Verlusten zur Jahresmitte 2025, die bereits die 2,2 Milliarden Dollar übersteigen, die im gesamten Jahr 2024 gestohlen wurden, warnen Analysten, dass ohne stärkere Sicherheitsmaßnahmen dieses Jahr zu den schlimmsten in der Geschichte der Krypto-Breaches zählen könnte.
