去中心化金融(DeFi)借贷协议Abracadabra遭遇黑客攻击
去中心化金融(DeFi)借贷协议Abracadabra再次遭遇黑客攻击,损失约180万美元的MIM代币。这次攻击利用了其“cook”功能中的一个漏洞,标志着Abracadabra今年遭遇的第三次重大黑客事件,进一步加深了人们对该平台合约安全性的担忧。
早在5月,该协议回购了650万MIM,弥补了3月攻击中损失的1300万美元的一半。团队确认用户资金未受影响,并表示已将1900万美元的国库部分用于回购MIM,以稳定其供应。
值得注意的是,区块链数据表明,攻击者在六个不同的钱包地址上利用了相同的漏洞。通过以特定的操作顺序调用“cook”功能,攻击者借入了1,793,755个MIM代币,并随后将其兑换为其他资产,总共获利约170万至180万美元。
安全分析师确认,此次攻击并非由于重入漏洞或典型的闪电贷漏洞,而完全源于代码中的逻辑错误。受影响的交易和相关钱包已被监控平台标记。Abracadabra的开发团队指出,DAO已识别并缓解了该漏洞,其他资金和用户不再面临风险。
安全专家的早期建议包括为每个操作实施隔离状态检查,并在所有借贷操作后添加强制性偿付能力验证。
“cook”功能如何在Abracadabra黑客攻击中被利用
根据区块链安全公司BlockSec的说法,此次攻击针对Abracadabra的“cook”功能。该功能旨在让用户在单个交易中执行多个预定义操作。虽然这一设计旨在提高效率,但由于功能内共享状态跟踪的存在,导致了一个危险的漏洞。
在“cook”功能下执行的每个操作共享一个单一的状态变量。当发生借贷操作(操作=5)时,系统设置一个标志,表示交易结束时需要进行偿付能力检查。然而,当另一个操作(操作=0)随之而来时,它调用了一个名为“additionalCookAction”的内部辅助函数。该辅助函数实际上是空的,并将偿付能力标志重置为false,覆盖了之前的设置。
这一疏忽使得攻击者能够将两个操作[5, 0]结合起来,在绕过偿付能力验证的情况下借入资产。因此,最终的偿付能力检查从未执行,导致攻击者抽走了协议资金。分析师警告称,随着DeFi平台继续优先考虑灵活性和可组合性,攻击者在识别复杂智能合约逻辑中被忽视的依赖关系方面变得越来越熟练。
加强测试框架、改善代码审查和实施持续监控被视为保护协议和用户资金的必要步骤。
DeFi黑客攻击在2025年激增
去中心化金融(DeFi)行业正面临其最艰难的一年之一,2025年的攻击激增至创纪录的高点。同样的受害者Abracadabra在2025年3月25日遭遇了1300万美元的以太坊(ETH)攻击,攻击者利用其智能合约架构中深埋的复杂逻辑缺陷。
此次攻击针对GMX代币池,抽走了6260个ETH。与常见的与算术错误或访问控制相关的漏洞不同,此次攻击利用了多步骤交易逻辑,使其在审计过程中极难被发现。这是Abracadabra今年的第二次重大攻击,此前在2024年1月发生了一起649万美元的事件,导致其Magic Internet Money(MIM)稳定币不稳定。
该攻击涉及以太坊上的多个“锅炉”。区块链侦探Cyvers Alerts随后透露,黑客使用了来自Tornado Cash(被制裁的隐私混合器)的1个ETH来资助该操作,最终抽走了2740个ETH,并将400万美元转移到一个新钱包。
“Abracadabra的攻击是加密盗窃上升趋势的一部分。”
根据Chainalysis的数据,2025年1月至6月间被盗金额超过21.7亿美元,几乎与2024年的总损失相当。CertiK将这一数字更高,达到24.7亿美元,主要是由于2月份15亿美元的Bybit黑客事件——历史上最大的交易所攻击之一。
按月计算,2025年9月的黑客攻击造成了约1.2706亿美元的损失。尽管这一数字比8月的1.63亿美元下降了22%,但仍记录了近20起重大攻击。即使在下降的情况下,攻击活动仍然高企,9月的损失超过了7月的1.42亿美元。
随着2025年中期的损失已经超过2024年全部被盗的22亿美元,分析师警告称,如果没有更强的安全措施,今年可能成为加密历史上最严重的泄露年份之一。
