Il protocollo DeFi Abracadabra<\/strong> ha subito una perdita di 1,8 milioni di dollari<\/strong> dopo che un attaccante ha sfruttato un errore logico nella sua funzione batch. Gli analisti di Hacken<\/strong> hanno rivelato che l’attaccante ha gi\u00e0 riciclato i fondi tramite Tornado Cash<\/strong>.<\/p>\n All’inizio di ottobre, Abracadabra, un protocollo di prestito DeFi che consente agli utenti di prendere in prestito il suo stablecoin MIM<\/strong> utilizzando token depositati come garanzia, ha subito un attacco che ha portato a una perdita di circa 1,8 milioni di dollari. L’attaccante ha utilizzato un errore logico nella funzione batch del protocollo per prendere in prestito senza fornire alcuna garanzia, replicando un attacco subito da un progetto forkato solo pochi giorni prima, come riportato in una nota di ricerca di Hacken condivisa con crypto.news.<\/p>\n Abracadabra \u00e8 stato progettato per consentire agli utenti di utilizzare token che generano interessi come garanzia per prendere in prestito un token ancorato al dollaro statunitense, noto come Magic Internet Money (MIM)<\/strong>. Il sistema si basa su due elementi principali: i Cauldrons<\/strong>, che gestiscono le regole di prestito, e il DegenBox<\/strong>, il vault condiviso che detiene effettivamente i token. In sintesi, gli utenti forniscono una garanzia in un Cauldron, mentre il DegenBox tiene traccia delle transazioni.<\/p>\n Il problema principale riscontrato \u00e8 stato che una bandiera di sicurezza, che dovrebbe forzare un controllo finale per verificare se un prestatore ha effettivamente una garanzia, \u00e8 stata disattivata all’interno di una singola transazione. Come evidenziato nel rapporto di Hacken, l’attaccante “ha sfruttato un difetto logico nella funzione cook di Abracadabra, che consentiva di prendere in prestito token MIM e poi ripristinare immediatamente la bandiera di validazione necessaria per controllare se avevano sufficiente garanzia.”<\/em> Questo ha permesso di ottenere prestiti non garantiti in un colpo solo attraverso pi\u00f9 Cauldrons.<\/p>\n Ecco come ha funzionato il flusso, in termini semplici: Abracadabra utilizza una funzione batch chiamata cook<\/strong>, che consente agli utenti di eseguire diverse azioni in una sola transazione, come depositare garanzia e prendere in prestito con un solo clic. Una di queste azioni, il passaggio “prendere in prestito”, imposta una bandiera chiamata needsSolvencyCheck<\/strong> su true, indicando che “alla fine di questa transazione, controlla che il prestatore sia solvibile.” Tuttavia, un’altra azione eseguita all’interno della stessa batch chiama la funzione _additionalCookAction(\u2026)<\/strong>. Come sottolinea Hacken, quella funzione \u00e8 stata dichiarata “virtuale” e non \u00e8 mai stata implementata, restituendo per impostazione predefinita un oggetto vuoto in cui tutto era impostato su false, inclusa la bandiera needsSolvencyCheck<\/strong>. Di conseguenza, l’attaccante ha chiamato l’azione di prestito, poi ha invocato l’azione predefinita che ha ripristinato la bandiera, e alla fine il protocollo non ha mai controllato la solvibilit\u00e0.<\/p>\n Gli analisti affermano che l’attaccante ha colpito sei Cauldrons in un colpo solo, prendendo circa 1,79 milioni di MIM<\/strong> e scambiandoli per ETH<\/strong>. Gli attaccanti hanno sfruttato la vulnerabilit\u00e0 e sono passati sistematicamente attraverso sei diversi Cauldrons, svuotando ciascuno “utilizzando la stessa tecnica con una chiamata di funzione cook dedicata,” hanno spiegato gli analisti. Dopo lo scambio, l’attaccante ha instradato i fondi tramite Tornado Cash, un protocollo di mixing crypto, principalmente in tranche da 10 ETH ciascuna, inviando gradualmente i fondi nel giorno successivo.<\/p>\n Questa non \u00e8 la prima volta che il codice CauldronV4<\/strong> di Abracadabra \u00e8 stato coinvolto in problemi. Altri incidenti all’inizio di quest’anno hanno sfruttato diversi casi limite nella stessa famiglia di contratti. Ci\u00f2 che \u00e8 interessante \u00e8 la rapidit\u00e0 con cui il fork ha reagito. Secondo il rapporto, un fork chiamato Synnax<\/strong> ha messo in pausa o ha rimosso dalla whitelist il suo master CauldronV4 sulla propria DegenBox giorni prima dello svuotamento di Abracadabra, suggerendo che il team del fork ha attivato il freno d’emergenza dopo aver individuato lo stesso modello debole, evidenziando che il rischio era visibile ai team che monitoravano il codice, sebbene non fosse stato risolto.<\/p>\n","protected":false},"excerpt":{"rendered":" Attacco al Protocollo DeFi Abracadabra Il protocollo DeFi Abracadabra ha subito una perdita di 1,8 milioni di dollari dopo che un attaccante ha sfruttato un errore logico nella sua funzione batch. Gli analisti di Hacken hanno rivelato che l’attaccante ha gi\u00e0 riciclato i fondi tramite Tornado Cash. Dettagli dell’Attacco All’inizio di ottobre, Abracadabra, un protocollo di prestito DeFi che consente agli utenti di prendere in prestito il suo stablecoin MIM utilizzando token depositati come garanzia, ha subito un attacco che ha portato a una perdita di circa 1,8 milioni di dollari. L’attaccante ha utilizzato un errore logico nella funzione batch<\/p>\n","protected":false},"author":3,"featured_media":10015,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[13,65,1927,8781,8782,2038],"class_list":["post-10016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-ethereum","tag-hack","tag-hacken","tag-magic-internet-money","tag-mim","tag-tornado-cash"],"yoast_description":"Il protocollo DeFi Abracadabra ha subito una perdita di 1,8 milioni di dollari a causa di un errore logico sfruttato da un attaccante, evidenziando le vulnerabilit\u00e0 nella sua funzione batch.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=10016"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10016\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/10015"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=10016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=10016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=10016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Dettagli dell’Attacco<\/h2>\n
Funzionamento di Abracadabra<\/h2>\n
Errore Logico e Sfruttamento<\/h2>\n
Flusso dell’Attacco<\/h2>\n
Risultati dell’Attacco<\/h2>\n
Conclusioni e Riflessioni<\/h2>\n