Abracadabra орталықтандырылмаған қаржы жүйесінде үшінші рет шабуылға ұшырап, хакерлер 1,7 млн долларды жымқырды

Abracadabra, жетекші DeFi несие беру платформасы, екі жыл ішінде үшінші ірі шабуылға ұшырап, шамамен 1,7 млн доллар жоғалтты.
Қауіпсіздік сарапшылары зиянды шабуылдаушының смарт келісімшарттағы ақауды пайдаланып, төлем қабілеттілігін тексеруді айналып өтіп, қаражатты шығарғанын айтты.
Сонымен қатар, жобаның командасы барлық келісімшарттарды тоқтатып, DAO резервтерін ұрланған MIM токендерін қайта сатып алу үшін пайдалануды жоспарлап отыр.

DeFi жобасы Abracadabra платформасынан шамамен 1,7 млн долларды құрайтын жаңа шабуылға ұшырады.

Blockchain қауіпсіздік фирмасы Go Security 4 қазан күні бұзушылықты анықтап, шабуылдаушылардың Tornado Cash арқылы шамамен 51 ETH жылыстатқанын растады. Есеп беру кезінде шабуылдаушының әмиянында (0x1AaaDe деп анықталған) шамамен 344 ETH, яғни шамамен 1,55 млн доллар болды.

Abracadabra қалай үшінші рет пайдаланылды

Қауіпсіздік зерттеушісі Вейлин Ли шабуылды растады және шабуылдаушының Abracadabra-ның смарт келісімшарт айнымалыларын өзгертіп, төлем қабілеттілігін тексеруді айналып өткенін түсіндірді.

Бұл оларға жоспарланған шектен тыс активтерді қарызға алуға мүмкіндік беріп, Abracadabra командасын одан әрі шығындарды болдырмау үшін барлық келісімшарттарды тоқтатуға мәжбүр етті.

Тағы бір blockchain аудит фирмасы Phalcon платформаның cook функциясындағы қате логикалық тізбекті анықтады. Бұл пайдаланушыларға бір транзакцияда бірнеше алдын ала анықталған әрекеттерді орындауға мүмкіндік беретін механизм.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Фирманың айтуынша, шабуылдаушы негізгі қауіпсіздік шараларын айналып өткен екі операцияны жүзеге асырған.

Біріншісі, action 5 деп аталады, төлем қабілеттілігін тексеруден өтуі тиіс қарыз алу процесін бастады. Екіншісі, action 0 деп аталады, тексеру жалаушасын қайта жазып, соңғы тексеру қадамынан өтпейтін бос жаңарту функциясы ретінде әрекет етті.

Шабуылдаушы осы үлгіні алты түрлі мекенжай бойынша қайталап, 1,79 млн-нан астам MIM токендерін шығарды.

Баспасөз уақытына дейін Abracadabra оқиғаға қатысты көпшілік алдында пікір білдірген жоқ. Айта кетерлігі, жобаның ресми X аккаунты қыркүйек айының басынан бері үнсіз қалды.

Алайда, Go Security Abracadabra командасының Discord-та зардап шеккен MIM қорын қайта сатып алу үшін DAO резервтік қаражатын пайдаланатынын растағанын хабарлады.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Егер расталса, соңғы оқиға Abracadabra-ға қарсы екі жыл ішінде үшінші шабуыл болар еді.

2024 жылдың қаңтарында платформа 6,49 млн долларды құрайтын хакерлік шабуылға ұшырап, MIM стейблкоинін АҚШ долларынан уақытша ажыратты. 2025 жылдың наурыз айында екінші шабуыл оның қазан келісімшарттарынан тағы 13 млн долларды шығарды, содан кейін команда хакерге 20% сыйақы ұсынды.

Мұндай бұзушылықтардың қайталануы DeFi протоколының қауіпсіздігі мен оның кросс-чейн несиелеу архитектураларының тұрақтылығы туралы жаңа сұрақтар туғызады.