Exploit en el Protocolo de Préstamos DeFi Abracadabra
El protocolo de préstamos DeFi Abracadabra ha caído víctima de otro exploit, perdiendo aproximadamente $1.8 millones en tokens MIM en un ataque sofisticado que aprovechó una falla en su función «cook». Esta violación marca el tercer gran hackeo vinculado a Abracadabra en lo que va del año, lo que profundiza las preocupaciones sobre la seguridad de los contratos de la plataforma.
A principios de mayo, el protocolo recompró 6.5 millones de MIM, cubriendo aproximadamente la mitad de los $13 millones perdidos en el exploit de marzo. El equipo confirmó que los fondos de los usuarios no se vieron afectados y anunció que asignó parte de su tesorería de $19 millones para recomprar MIM y estabilizar su suministro.
Notablemente, los datos de blockchain muestran que el atacante explotó la misma falla en seis direcciones de billetera diferentes. Al llamar a la función «cook» con una secuencia de acciones específica, el atacante tomó prestados 1,793,755 tokens MIM y luego los intercambió por otros activos, obteniendo aproximadamente entre $1.7 y $1.8 millones en ganancias totales.
Los analistas de seguridad confirmaron que el exploit no se debió a un error de reentrada ni a una vulnerabilidad típica de préstamo relámpago, sino que se originó completamente de un error lógico en el código. La transacción afectada y las billeteras asociadas han sido señaladas por plataformas de monitoreo. El equipo de desarrollo de Abracadabra indicó que la DAO ha identificado y mitigado el exploit, y que no hay otros fondos o usuarios en riesgo.
Las primeras recomendaciones de expertos en seguridad incluyen implementar verificaciones de estado aisladas para cada acción y agregar validaciones de solvencia obligatorias después de todas las operaciones de préstamo.
Cómo se explotó la defectuosa función «cook» en el hackeo de Abracadabra
Según la firma de seguridad blockchain BlockSec, el ataque se dirigió a la función «cook» de Abracadabra. Esta característica está diseñada para permitir a los usuarios ejecutar múltiples operaciones predefinidas en una sola transacción. Si bien este diseño tiene como objetivo mejorar la eficiencia, también creó una vulnerabilidad peligrosa debido al seguimiento de estado compartido dentro de la función.
Cada acción realizada bajo la función «cook» comparte una única variable de estado. Cuando ocurre una operación de préstamo (acción = 5), el sistema establece una bandera que indica que se requiere una verificación de solvencia al final de la transacción. Sin embargo, cuando otra acción (acción = 0) sigue, llama a una función auxiliar interna llamada «additionalCookAction». Esta función auxiliar está efectivamente vacía y restablece la bandera de solvencia a falso, anulando la configuración anterior.
Esta omisión permitió a los atacantes combinar las dos acciones, [5, 0], para tomar prestados activos mientras eludían la verificación de insolvencia. Como resultado, la verificación final de solvencia nunca se ejecutó, permitiendo al atacante drenar los fondos del protocolo.
Los analistas advierten que, a medida que las plataformas DeFi continúan priorizando la flexibilidad y la composibilidad, los atacantes se están volviendo cada vez más hábiles en identificar dependencias pasadas por alto dentro de la lógica compleja de los contratos inteligentes. Fortalecer los marcos de prueba, mejorar las revisiones de código e implementar monitoreo continuo se consideran ahora pasos esenciales para proteger los protocolos y los fondos de los usuarios.
Aumento de hackeos DeFi en 2025
El sector de finanzas descentralizadas (DeFi) enfrenta uno de sus años más difíciles, con los exploits alcanzando niveles récord en 2025. La misma víctima, Abracadabra, sufrió una violación de $13 millones en Ether (ETH) el 25 de marzo de 2025, después de que los atacantes explotaran fallas lógicas complejas enterradas en su arquitectura de contratos inteligentes.
Este exploit se dirigió a los grupos de tokens GMX y drenó 6,260 ETH. A diferencia de las vulnerabilidades comunes relacionadas con errores aritméticos o control de acceso, este ataque aprovechó la lógica de transacciones de múltiples pasos, lo que lo hizo excepcionalmente difícil de detectar durante las auditorías.
Ese fue el segundo gran exploit de Abracadabra del año, tras un incidente de $6.49 millones en enero de 2024 que desestabilizó su stablecoin Magic Internet Money (MIM). El ataque involucró varios «calderos» en Ethereum. Los investigadores de blockchain Cyvers Alerts revelaron más tarde que el hacker utilizó 1 ETH de Tornado Cash, el mezclador de privacidad sancionado, para financiar la operación, drenando eventualmente 2,740 ETH y moviendo $4 millones a una nueva billetera.
El ataque a Abracadabra es parte de una tendencia más amplia de robos de criptomonedas en aumento. Según Chainalysis, se robaron más de $2.17 mil millones entre enero y junio de 2025, casi igualando todas las pérdidas totales de 2024. CertiK colocó la cifra aún más alta, en $2.47 mil millones, impulsada en gran medida por el hackeo de $1.5 mil millones de Bybit en febrero, uno de los mayores hackeos de intercambio en la historia.
Mensualmente, los hackeos causaron pérdidas estimadas de $127.06 millones en septiembre de 2025. Si bien esta cifra representa una caída del 22% respecto a los $163 millones de agosto, aún se registraron casi 20 grandes exploits. A pesar de la disminución, la actividad de exploits sigue siendo alta, con pérdidas en septiembre que superan los $142 millones de julio.
Con las pérdidas de mitad de año de 2025 ya superando los $2.2 mil millones robados en todo 2024, los analistas advierten que, sin medidas de seguridad más fuertes, este año podría clasificarse entre los peores en la historia de las criptomonedas por violaciones.
