DeFiレンディングプロトコルAbracadabraの攻撃
DeFiレンディングプロトコルのAbracadabraが再び攻撃の犠牲となり、約180万ドルのMIMトークンを失いました。この攻撃は、同プロトコルの「cook」機能の欠陥を利用した巧妙なものでした。この侵害は、今年Abracadabraに関連する3回目の主要なハッキングであり、プラットフォームの契約セキュリティに対する懸念を深めています。
5月初め、プロトコルは650万MIMを再購入し、3月の侵害で失われた1300万ドルの約半分をカバーしました。チームはユーザーの資金に影響はないと確認し、1900万ドルの財務からMIMを買い戻し、その供給を安定させるために一部を割り当てたと述べました。特に、ブロックチェーンデータは、攻撃者が6つの異なるウォレットアドレスで同じ欠陥を利用したことを示しています。
「cook」機能を特定のアクションシーケンスで呼び出すことで、攻撃者は1,793,755 MIMトークンを借り、その後他の資産と交換し、合計で約170万から180万ドルの利益を得ました。
セキュリティアナリストは、この侵害が再入可能性バグや一般的なフラッシュローンの脆弱性によるものではなく、コードの論理エラーから完全に生じたものであると確認しました。影響を受けた取引と関連するウォレットは、監視プラットフォームによってフラグが立てられました。Abracadabraの開発チームは、DAOが侵害を特定し、軽減したことを指摘し、他の資金やユーザーは危険にさらされていないと述べました。セキュリティ専門家からの初期の提案には、各アクションに対する孤立した状態チェックの実装や、すべての借入操作後の必須の支払い能力検証の追加が含まれています。
「cook」機能の欠陥とその影響
Abracadabraハックでの欠陥のある「cook」機能の利用方法について、ブロックチェーンセキュリティ企業BlockSecによると、攻撃はAbracadabraの「cook」機能をターゲットにしました。この機能は、ユーザーが単一の取引で複数の事前定義された操作を実行できるように設計されています。この設計は効率を向上させることを目的としていますが、機能内での共有状態追跡により危険な脆弱性を生み出しました。
「cook」機能の下で実行される各アクションは、単一の状態変数を共有します。借入操作(アクション=5)が発生すると、システムは取引の最後に支払い能力チェックが必要であることを示すフラグを設定します。しかし、別のアクション(アクション=0)が続くと、内部ヘルパー関数「additionalCookAction」を呼び出します。このヘルパー関数は実質的に空であり、支払い能力フラグをfalseにリセットし、以前の設定を上書きします。この見落としにより、攻撃者は2つのアクション[5, 0]を組み合わせて資産を借り、支払い能力の検証を回避することができました。
その結果、最終的な支払い能力チェックは実行されず、攻撃者はプロトコルの資金を引き出すことができました。アナリストは、DeFiプラットフォームが柔軟性とコンポーザビリティを優先し続ける中で、攻撃者が複雑なスマートコントラクトロジック内の見落とされた依存関係を特定する能力が高まっていると警告しています。テストフレームワークの強化、コードレビューの改善、継続的な監視の実施は、プロトコルとユーザー資金を保護するための重要なステップと見なされています。
2025年のDeFiハッキングの急増
分散型金融(DeFi)セクターは、2025年に記録的な高水準に達するハッキングの急増に直面しています。同じ被害者であるAbracadabraは、2025年3月25日に1300万ドルのEther(ETH)侵害を受け、攻撃者がそのスマートコントラクトアーキテクチャ内に埋もれた複雑な論理の欠陥を利用しました。この侵害はGMXトークンプールをターゲットにし、6260 ETHを引き出しました。
算術エラーやアクセス制御に関連する一般的な脆弱性とは異なり、この攻撃はマルチステップの取引ロジックを利用し、監査中に検出するのが非常に困難でした。これは、2024年1月の649万ドルの事件に続く、今年Abracadabraの2回目の主要な侵害でした。この攻撃はEthereum上のいくつかの「かまど」を含んでいました。
ブロックチェーンの調査者Cyvers Alertsは、ハッカーが制裁を受けたプライバシーミキサーであるTornado Cashから1 ETHを使用して操作資金を調達し、最終的に2740 ETHを引き出し、400万ドルを新しいウォレットに移動させたことを明らかにしました。
Abracadabraの攻撃は、暗号盗難の増加という広範な傾向の一部です。Chainalysisによると、2025年1月から6月の間に217億ドルが盗まれ、2024年の総損失にほぼ匹敵します。CertiKはこの数字をさらに高く、247億ドルとし、主に2月の150億ドルのBybitハッキングによって推進されました—歴史上最大の取引所侵害の1つです。
月ごとに見ると、ハッキングは2025年9月に約127.06百万ドルの損失を引き起こしました。この数字は、8月の163百万ドルから22%の減少を示していますが、依然として約20件の主要な侵害が記録されました。減少があったにもかかわらず、侵害活動は依然として高く、9月の損失は7月の142百万ドルを上回っています。2025年の中間損失はすでに2024年の220億ドルを超えており、アナリストは、より強力なセキュリティ対策がなければ、今年は暗号の歴史の中で侵害の最悪の年の1つになる可能性があると警告しています。
