Incident de sécurité d’Abracadabra
Le protocole de prêt DeFi Abracadabra a été victime d’un nouvel exploit, perdant environ 1,8 million de dollars en tokens MIM lors d’une attaque sophistiquée qui a tiré parti d’une faille dans sa fonction « cook ». Cet incident marque le troisième grand hack lié à Abracadabra cette année, renforçant les inquiétudes concernant la sécurité des contrats de la plateforme.
Plus tôt en mai, le protocole avait racheté 6,5 millions de MIM, couvrant environ la moitié des 13 millions de dollars perdus lors de l’exploit de mars. L’équipe a confirmé que les fonds des utilisateurs n’étaient pas affectés et a déclaré avoir alloué une partie de sa trésorerie de 19 millions de dollars pour racheter des MIM et stabiliser son approvisionnement.
Notamment, les données de la blockchain montrent que l’attaquant a exploité la même faille à travers six adresses de portefeuille différentes. En appelant la fonction « cook » avec une séquence d’actions spécifique, l’attaquant a emprunté 1 793 755 tokens MIM et les a ensuite échangés contre d’autres actifs, réalisant un gain total d’environ 1,7 à 1,8 million de dollars.
Les analystes en sécurité ont confirmé que l’exploit n’était pas dû à un bug de réentrance ou à une vulnérabilité typique de prêt flash, mais provenait entièrement d’une erreur logique dans le code. La transaction affectée et les portefeuilles associés ont été signalés par des plateformes de surveillance. L’équipe de développement d’Abracadabra a noté que le DAO a identifié et atténué l’exploit, et qu’aucun autre fonds ou utilisateur n’est en danger.
Les premières suggestions des experts en sécurité incluent la mise en œuvre de vérifications d’état isolées pour chaque action et l’ajout de validations de solvabilité obligatoires après toutes les opérations d’emprunt.
Exploitation de la fonction « cook »
Selon la société de sécurité blockchain BlockSec, l’attaque a ciblé la fonction « cook » d’Abracadabra. Cette fonctionnalité est conçue pour permettre aux utilisateurs d’exécuter plusieurs opérations prédéfinies en une seule transaction. Bien que ce design vise à améliorer l’efficacité, il a également créé une vulnérabilité dangereuse en raison du suivi d’état partagé au sein de la fonction.
Chaque action effectuée sous la fonction « cook » partage une seule variable d’état. Lorsqu’une opération d’emprunt (action = 5) se produit, le système définit un indicateur indiquant qu’une vérification de solvabilité est requise à la fin de la transaction. Cependant, lorsqu’une autre action (action = 0) suit, elle appelle une fonction d’assistance interne nommée « additionalCookAction ». Cette fonction d’assistance est effectivement vide et réinitialise le drapeau de solvabilité à faux, écrasant le paramètre précédent.
Cette négligence a permis aux attaquants de combiner les deux actions, [5, 0], pour emprunter des actifs tout en contournant la vérification de solvabilité. En conséquence, la vérification finale de solvabilité n’a jamais été exécutée, permettant à l’attaquant de siphonner les fonds du protocole.
Les analystes avertissent qu’à mesure que les plateformes DeFi continuent de privilégier la flexibilité et la composition, les attaquants deviennent de plus en plus habiles à identifier les dépendances négligées au sein de la logique complexe des contrats intelligents. Renforcer les cadres de test, améliorer les revues de code et mettre en œuvre une surveillance continue sont désormais considérés comme des étapes essentielles pour protéger les protocoles et les fonds des utilisateurs.
Augmentation des hacks DeFi en 2025
Le secteur de la finance décentralisée (DeFi) fait face à l’une de ses années les plus difficiles, avec des exploits atteignant des niveaux record en 2025. La même victime, Abracadabra, a subi une violation de 13 millions de dollars en Ether (ETH) le 25 mars 2025, après que des attaquants ont exploité des failles logiques complexes enfouies profondément dans son architecture de contrat intelligent.
L’exploit a ciblé les pools de tokens GMX et siphonné 6 260 ETH. Contrairement aux vulnérabilités courantes liées à des erreurs arithmétiques ou à des contrôles d’accès, cette attaque a tiré parti de la logique de transaction en plusieurs étapes, rendant exceptionnellement difficile sa détection lors des audits.
C’était le deuxième grand exploit d’Abracadabra de l’année, après un incident de 6,49 millions de dollars en janvier 2024 qui a déstabilisé son stablecoin Magic Internet Money (MIM). L’attaque impliquait plusieurs « chaudrons » sur Ethereum. Les détectives de la blockchain Cyvers Alerts ont ensuite révélé que le hacker avait utilisé 1 ETH de Tornado Cash, le mixeur de confidentialité sanctionné, pour financer l’opération, siphonnant finalement 2 740 ETH et déplaçant 4 millions de dollars vers un nouveau portefeuille.
L’attaque d’Abracadabra fait partie d’une tendance plus large d’escalade des vols de crypto-monnaies. Selon Chainalysis, plus de 2,17 milliards de dollars ont été volés entre janvier et juin 2025, presque égalant toutes les pertes totales de 2024. CertiK a placé le chiffre encore plus haut, à 2,47 milliards de dollars, principalement en raison du hack de 1,5 milliard de dollars de Bybit en février – l’une des plus grandes violations d’échange de l’histoire.
Sur une base mensuelle, les hacks ont causé des pertes estimées à 127,06 millions de dollars en septembre 2025. Bien que ce chiffre représente une baisse de 22 % par rapport aux 163 millions de dollars d’août, près de 20 grands exploits ont tout de même été enregistrés. Même avec la baisse, l’activité d’exploitation reste élevée, les pertes de septembre dépassant les 142 millions de dollars de juillet.
Avec les pertes de mi-année de 2025 déjà supérieures aux 2,2 milliards de dollars volés en 2024, les analystes avertissent que sans mesures de sécurité plus strictes, cette année pourrait figurer parmi les pires de l’histoire de la crypto en matière de violations.
