Взлом DeFi-протокола Abracadabra
DeFi-кредитный протокол Abracadabra стал жертвой очередной атаки, потеряв около $1.8 миллиона в токенах MIM в результате сложного взлома, использующего уязвимость в его функции «cook». Этот инцидент стал третьим крупным взломом, связанным с Abracadabra в этом году, что усиливает опасения по поводу безопасности смарт-контрактов платформы.
Ранее в мае протокол выкупил 6.5 миллиона MIM, покрыв около половины из $13 миллионов, потерянных в марте. Команда подтвердила, что средства пользователей не пострадали и сообщила, что выделила часть своего казначейства в $19 миллионов для выкупа MIM и стабилизации его предложения.
Примечательно, что данные блокчейна показывают, что злоумышленник использовал ту же уязвимость через шесть различных адресов кошельков.
Вызывая функцию «cook» с определенной последовательностью действий, злоумышленник занял 1,793,755 токенов MIM и позже обменял их на другие активы, получив примерно $1.7-1.8 миллиона в общей сложности. Аналитики по безопасности подтвердили, что взлом не был вызван ошибкой повторного входа или типичной уязвимостью flash loan, а полностью произошел из-за логической ошибки в коде.
Затронутая транзакция и связанные кошельки были отмечены мониторинговыми платформами. Команда разработчиков Abracadabra отметила, что DAO выявила и устранила уязвимость, и другие средства/пользователи не находятся под угрозой.
Ранние рекомендации от экспертов по безопасности включают внедрение изолированных проверок состояния для каждого действия и добавление обязательных проверок платежеспособности после всех операций заимствования.
Как была использована уязвимость функции «cook»?
Согласно данным блокчейн-безопасности компании BlockSec, атака была нацелена на функцию «cook» Abracadabra. Эта функция предназначена для того, чтобы позволить пользователям выполнять несколько предопределенных операций в одной транзакции. Хотя этот дизайн направлен на повышение эффективности, он также создал опасную уязвимость из-за общего отслеживания статуса внутри функции.
Каждое действие, выполняемое в рамках функции «cook», использует одну переменную статуса. Когда происходит операция заимствования (действие = 5), система устанавливает флаг, указывающий на необходимость проверки платежеспособности в конце транзакции. Однако, когда за ним следует другое действие (действие = 0), оно вызывает внутреннюю вспомогательную функцию под названием «additionalCookAction». Эта вспомогательная функция фактически пуста и сбрасывает флаг платежеспособности на false, переопределяя предыдущее значение.
Эта ошибка позволила злоумышленникам объединить два действия, [5, 0], чтобы занять активы, минуя проверку платежеспособности. В результате финальная проверка платежеспособности никогда не была выполнена, что позволило злоумышленнику исчерпать средства протокола.
Аналитики предупреждают, что по мере того как платформы DeFi продолжают придавать приоритет гибкости и композируемости, злоумышленники становятся все более искусными в выявлении упущенных зависимостей в сложной логике смарт-контрактов. Укрепление тестовых фреймворков, улучшение проверок кода и внедрение непрерывного мониторинга теперь рассматриваются как важные шаги для защиты протоколов и средств пользователей.
Рост взломов DeFi в 2025 году
Сектор децентрализованных финансов (DeFi) сталкивается с одним из самых сложных годов, с ростом числа взломов до рекордных уровней в 2025 году. Тот же самый жертва, Abracadabra, понесла убытки в $13 миллионов из-за взлома Ether (ETH) 25 марта 2025 года, после того как злоумышленники использовали сложные логические ошибки, скрытые глубоко в архитектуре его смарт-контрактов.
Взлом был нацелен на пулы токенов GMX и исчерпал 6,260 ETH. В отличие от распространенных уязвимостей, связанных с арифметическими ошибками или контролем доступа, эта атака использовала многоступенчатую логику транзакций, что делало ее исключительно трудной для обнаружения во время аудитов.
Это был второй крупный взлом Abracadabra в этом году, после инцидента на $6.49 миллионов в январе 2024 года, который дестабилизировал его стабильную монету Magic Internet Money (MIM). Атака затронула несколько «котлов» на Ethereum.
Блокчейн-детективы Cyvers Alerts позже раскрыли, что хакер использовал 1 ETH из Tornado Cash, санкционированного миксера для обеспечения конфиденциальности, чтобы профинансировать операцию, в конечном итоге похитив 2,740 ETH и переведя $4 миллиона на новый кошелек.
Атака на Abracadabra является частью более широкой тенденции нарастущих краж криптовалют. Согласно Chainalysis, с января по июнь 2025 года было украдено более $2.17 миллиарда, что почти соответствует общим потерям 2024 года. CertiK оценивает эту сумму еще выше, в $2.47 миллиарда, что в значительной степени обусловлено взломом Bybit на $1.5 миллиарда в феврале — одним из крупнейших взломов биржи в истории.
В месячном исчислении взломы привели к убыткам в размере примерно $127.06 миллионов в сентябре 2025 года. Хотя эта цифра представляет собой снижение на 22% по сравнению с августовскими $163 миллионов, было зафиксировано почти 20 крупных взломов. Даже с учетом снижения, активность взломов остается высокой, при этом убытки в сентябре превышают $142 миллиона в июле.
С учетом того, что убытки в середине 2025 года уже превысили $2.2 миллиарда, украденные за весь 2024 год, аналитики предупреждают, что без более строгих мер безопасности этот год может стать одним из худших в истории криптовалют по количеству взломов.
