Proyek DeFi Abracadabra mengalami eksploitasi baru yang menguras sekitar US$1,7 juta dari platformnya.
Perusahaan keamanan blockchain Go Security menandai pelanggaran ini pada 4 Oktober dan mengonfirmasi bahwa penyerang telah mencuci sekitar 51 ETH melalui Tornado Cash. Pada waktu pelaporan, wallet penyerang (diidentifikasi sebagai 0x1AaaDe) masih menyimpan sekitar 344 ETH, senilai kira-kira US$1,55 juta.
SponsoredBagaimana Abracadabra Dieksploitasi untuk Ketiga Kalinya
Peneliti keamanan Weilin Li memverifikasi eksploitasi ini dan menjelaskan bahwa penyerang memanipulasi variabel smart contract Abracadabra untuk melewati pemeriksaan solvabilitas.
Ini memungkinkan mereka meminjam aset melebihi batas yang ditentukan, mendorong tim Abracadabra untuk menghentikan semua kontrak guna mencegah kerugian lebih lanjut.
Perusahaan audit blockchain lainnya, Phalcon, melacak penyebab utama ke urutan logika yang salah dalam fungsi cook platform. Ini adalah mekanisme yang memungkinkan pengguna melakukan beberapa tindakan yang telah ditentukan dalam satu transaksi.
Menurut perusahaan tersebut, penyerang melakukan dua operasi yang menimpa pengamanan utama.
SponsoredYang pertama, dikenal sebagai aksi 5, memulai proses peminjaman yang seharusnya melewati pemeriksaan solvabilitas. Yang kedua, disebut aksi 0, bertindak sebagai fungsi pembaruan kosong yang menulis ulang bendera pemeriksaan dan melewati langkah validasi akhir.
Penyerang menguras lebih dari 1,79 juta token MIM dengan mengulangi pola ini di enam alamat berbeda.
Sampai saat ini, Abracadabra belum memberikan komentar publik tentang insiden ini. Terutama, akun X resmi proyek ini tetap diam sejak awal September.
Namun, Go Security melaporkan bahwa tim Abracadabra mengonfirmasi di Discord bahwa mereka akan menggunakan dana cadangan DAO untuk membeli kembali pasokan MIM yang terkena dampak.
Sementara itu, jika terverifikasi, insiden terbaru ini akan menandai eksploitasi ketiga terhadap Abracadabra dalam waktu kurang dari dua tahun.
Pada Januari 2024, platform ini kehilangan US$6,49 juta dalam sebuah peretasan yang sempat membuat stablecoin MIM terlepas dari US dollar. Eksploitasi kedua pada Maret 2025 menguras lagi US$13 juta dari kontrak cauldron-nya, setelah itu tim menawarkan hadiah 20% kepada peretas.
Berulangnya pelanggaran semacam ini menimbulkan pertanyaan baru tentang keamanan protokol DeFi dan keberlanjutan arsitektur pinjaman lintas chain-nya.