Il Protocollo di Prestito DeFi Abracadabra e l’Ultimo Exploit
Il protocollo di prestito DeFi Abracadabra è stato vittima di un altro exploit, perdendo circa 1,8 milioni di dollari in token MIM a causa di un attacco sofisticato che ha sfruttato una falla nella sua funzione “cook”. Questo incidente segna il terzo grande hack legato ad Abracadabra nel corso dell’anno, sollevando ulteriori preoccupazioni sulla sicurezza dei contratti della piattaforma.
Dettagli dell’Incidente
All’inizio di maggio, il protocollo aveva riacquistato 6,5 milioni di MIM, coprendo circa la metà dei 13 milioni di dollari persi nell’exploit di marzo. Il team ha confermato che i fondi degli utenti non sono stati colpiti e ha dichiarato di aver allocato parte del suo tesoro di 19 milioni di dollari per riacquistare MIM e stabilizzare la sua fornitura.
È importante notare che i dati della blockchain mostrano che l’attaccante ha sfruttato la stessa falla su sei diversi indirizzi di portafoglio. Chiamando la funzione “cook” con una specifica sequenza di azioni, l’attaccante ha preso in prestito 1.793.755 token MIM e successivamente li ha scambiati per altri asset, ottenendo guadagni totali di circa 1,7-1,8 milioni di dollari.
Analisi della Vulnerabilità
Gli analisti di sicurezza hanno confermato che l’exploit non è stato causato da un bug di reentrancy o da una vulnerabilità tipica dei prestiti flash, ma derivava interamente da un errore logico nel codice. La transazione interessata e i portafogli associati sono stati segnalati da piattaforme di monitoraggio. Il team di sviluppo di Abracadabra ha notato che il DAO ha identificato e mitigato l’exploit e che nessun altro fondo o utente è a rischio.
Le prime raccomandazioni degli esperti di sicurezza includono l’implementazione di controlli di stato isolati per ogni azione e l’aggiunta di validazioni di solvibilità obbligatorie dopo tutte le operazioni di prestito.
Come è stata sfruttata la funzione “cook”?
Secondo la società di sicurezza blockchain BlockSec, l’attacco ha preso di mira la funzione “cook” di Abracadabra. Questa funzione è progettata per consentire agli utenti di eseguire più operazioni predefinite in una singola transazione. Sebbene questo design miri a migliorare l’efficienza, ha anche creato una vulnerabilità pericolosa a causa del tracciamento dello stato condiviso all’interno della funzione.
Ogni azione eseguita sotto la funzione “cook” condivide una singola variabile di stato. Quando si verifica un’operazione di prestito (azione = 5), il sistema imposta un flag che indica che è necessario un controllo di solvibilità alla fine della transazione. Tuttavia, quando segue un’altra azione (azione = 0), chiama una funzione di supporto interna chiamata “additionalCookAction”. Questa funzione di supporto è effettivamente vuota e ripristina il flag di solvibilità a falso, sovrascrivendo l’impostazione precedente. Questa svista ha permesso agli attaccanti di combinare le due azioni, [5, 0], per prendere in prestito asset bypassando la verifica di insolvenza.
Di conseguenza, il controllo finale di solvibilità non è mai stato eseguito, consentendo all’attaccante di drenare i fondi del protocollo. Gli analisti avvertono che mentre le piattaforme DeFi continuano a dare priorità alla flessibilità e alla composabilità, gli attaccanti stanno diventando sempre più abili nell’identificare dipendenze trascurate all’interno della logica complessa dei contratti intelligenti.
Aumento degli Hack DeFi nel 2025
Il settore della finanza decentralizzata (DeFi) sta affrontando uno dei suoi anni più difficili, con exploit che raggiungono livelli record nel 2025. La stessa vittima, Abracadabra, ha subito una violazione di 13 milioni di dollari in Ether (ETH) il 25 marzo 2025, dopo che gli attaccanti hanno sfruttato complessi difetti logici sepolti nel profondo della sua architettura di contratto intelligente.
L’exploit ha preso di mira i pool di token GMX e ha drenato 6.260 ETH. A differenza delle vulnerabilità comuni legate a errori aritmetici o controlli di accesso, questo attacco ha sfruttato la logica delle transazioni a più passaggi, rendendolo eccezionalmente difficile da rilevare durante le verifiche.
Quello è stato il secondo grande exploit di Abracadabra dell’anno, dopo un incidente di 6,49 milioni di dollari nel gennaio 2024 che ha destabilizzato il suo stablecoin Magic Internet Money (MIM). L’attacco ha coinvolto diversi “cauldrons” su Ethereum.
Gli investigatori blockchain di Cyvers Alerts hanno successivamente rivelato che l’hacker ha utilizzato 1 ETH da Tornado Cash, il mixer di privacy sanzionato, per finanziare l’operazione, drenando infine 2.740 ETH e spostando 4 milioni di dollari in un nuovo portafoglio.
Tendenze e Rischi nel Settore DeFi
L’attacco ad Abracadabra fa parte di una tendenza più ampia di furti di criptovalute in aumento. Secondo Chainalysis, oltre 2,17 miliardi di dollari sono stati rubati tra gennaio e giugno 2025, quasi eguagliando tutte le perdite totali del 2024. CertiK ha collocato la cifra ancora più in alto, a 2,47 miliardi di dollari, guidata in gran parte dall’hack di 1,5 miliardi di dollari di Bybit di febbraio, uno dei più grandi attacchi a scambi nella storia.
Su base mensile, gli hack hanno causato perdite stimate di 127,06 milioni di dollari a settembre 2025. Sebbene la cifra rappresenti una diminuzione del 22% rispetto ai 163 milioni di dollari di agosto, sono stati comunque registrati quasi 20 grandi exploit. Anche con il calo, l’attività di exploit rimane alta, con le perdite di settembre che superano i 142 milioni di dollari di luglio.
Con le perdite di metà anno del 2025 già superiori ai 2,2 miliardi di dollari rubati in tutto il 2024, gli analisti avvertono che senza misure di sicurezza più forti, quest’anno potrebbe essere uno dei peggiori nella storia delle violazioni delle criptovalute.
