Protokol Pinjaman DeFi Abracadabra Kembali Dieksploitasi
Protokol pinjaman DeFi Abracadabra kembali menjadi korban eksploitasi, kehilangan sekitar $1,8 juta dalam token MIM akibat serangan canggih yang memanfaatkan celah dalam fungsi “cook”. Pelanggaran ini merupakan peretasan besar ketiga yang dialami Abracadabra tahun ini, yang semakin memperdalam kekhawatiran mengenai keamanan kontrak platform tersebut. Sebelumnya, pada bulan Mei, protokol ini telah membeli kembali 6,5 juta MIM, menutupi sekitar setengah dari $13 juta yang hilang dalam eksploitasi bulan Maret. Tim pengembang mengonfirmasi bahwa dana pengguna tidak terpengaruh dan menyatakan bahwa mereka mengalokasikan sebagian dari kas sebesar $19 juta untuk membeli kembali MIM dan menstabilkan pasokannya.
Detail Eksploitasi dan Metode Penyerang
Secara signifikan, data blockchain menunjukkan bahwa penyerang mengeksploitasi celah yang sama di enam alamat dompet yang berbeda. Dengan memanggil fungsi “cook” dalam urutan tindakan tertentu, penyerang berhasil meminjam 1.793.755 token MIM dan menukarnya dengan aset lain, menghasilkan total keuntungan sekitar $1,7 hingga $1,8 juta. Analis keamanan mengonfirmasi bahwa eksploitasi ini bukan disebabkan oleh bug reentrancy atau kerentanan pinjaman kilat yang umum, melainkan sepenuhnya berasal dari kesalahan logika dalam kode. Transaksi yang terpengaruh dan dompet terkait telah ditandai oleh platform pemantauan.
Tim pengembang Abracadabra mencatat bahwa DAO telah mengidentifikasi dan mengurangi eksploitasi tersebut, serta memastikan bahwa tidak ada dana atau pengguna lain yang berisiko. Saran awal dari para ahli keamanan mencakup penerapan pemeriksaan status terisolasi untuk setiap tindakan dan penambahan validasi solvabilitas yang wajib setelah semua operasi peminjaman.
Bagaimana Fungsi “Cook” yang Bermasalah Dieksploitasi dalam Peretasan Abracadabra
Menurut perusahaan keamanan blockchain BlockSec, serangan ini menargetkan fungsi “cook” Abracadabra. Fitur ini dirancang untuk memungkinkan pengguna mengeksekusi beberapa operasi yang telah ditentukan sebelumnya dalam satu transaksi. Meskipun desain ini bertujuan untuk meningkatkan efisiensi, hal ini juga menciptakan kerentanan berbahaya karena pelacakan status yang dibagikan dalam fungsi tersebut.
Setiap tindakan yang dilakukan di bawah fungsi “cook” berbagi satu variabel status. Ketika operasi peminjaman (tindakan = 5) terjadi, sistem mengatur bendera yang menunjukkan bahwa pemeriksaan solvabilitas diperlukan di akhir transaksi. Namun, ketika tindakan lain (tindakan = 0) mengikuti, itu memanggil fungsi pembantu internal bernama “additionalCookAction”. Fungsi pembantu ini pada dasarnya kosong dan mengatur ulang bendera solvabilitas menjadi false, menimpa pengaturan sebelumnya. Kelalaian ini memungkinkan penyerang untuk menggabungkan kedua tindakan, [5, 0], untuk meminjam aset sambil melewati verifikasi insolvensi. Akibatnya, pemeriksaan solvabilitas akhir tidak pernah dieksekusi, sehingga penyerang dapat menguras dana protokol.
Analis memperingatkan bahwa seiring semakin banyaknya platform DeFi yang memprioritaskan fleksibilitas dan komposabilitas, penyerang semakin mahir dalam mengidentifikasi ketergantungan yang terabaikan dalam logika kontrak pintar yang kompleks. Memperkuat kerangka pengujian, meningkatkan tinjauan kode, dan menerapkan pemantauan berkelanjutan kini dianggap sebagai langkah penting untuk melindungi protokol dan dana pengguna.
Lonjakan Peretasan DeFi di 2025
Sektor keuangan terdesentralisasi (DeFi) menghadapi salah satu tahun terberatnya, dengan eksploitasi melonjak ke tingkat tertinggi yang belum pernah terjadi sebelumnya pada tahun 2025. Korban yang sama, Abracadabra, mengalami pelanggaran sebesar $13 juta pada Ether (ETH) pada 25 Maret 2025, setelah penyerang mengeksploitasi kesalahan logika kompleks yang terkubur dalam arsitektur kontrak pintarnya. Eksploitasi ini menargetkan kolam token GMX dan menguras 6.260 ETH.
Berbeda dengan kerentanan umum yang terkait dengan kesalahan aritmatika atau kontrol akses, serangan ini memanfaatkan logika transaksi multi-langkah, membuatnya sangat sulit untuk dideteksi selama audit. Ini adalah eksploitasi besar kedua Abracadabra tahun ini, setelah insiden sebesar $6,49 juta pada Januari 2024 yang mengguncang stablecoin Magic Internet Money (MIM) miliknya. Serangan tersebut melibatkan beberapa “cauldron” di Ethereum.
Penyidik blockchain Cyvers Alerts kemudian mengungkapkan bahwa peretas menggunakan 1 ETH dari Tornado Cash, mixer privasi yang disanksi, untuk mendanai operasi tersebut, akhirnya menguras 2.740 ETH dan memindahkan $4 juta ke dompet baru.
Serangan Abracadabra adalah bagian dari tren yang lebih luas dari pencurian crypto yang meningkat. Menurut Chainalysis, lebih dari $2,17 miliar dicuri antara Januari dan Juni 2025, hampir menyamai total kerugian tahun 2024. CertiK bahkan mencatat angka tersebut lebih tinggi, yaitu $2,47 miliar, yang sebagian besar didorong oleh peretasan Bybit sebesar $1,5 miliar pada bulan Februari—salah satu pelanggaran bursa terbesar dalam sejarah.
Secara bulanan, peretasan menyebabkan kerugian sekitar $127,06 juta pada September 2025. Meskipun angka tersebut mencerminkan penurunan 22% dari $163 juta pada bulan Agustus, hampir 20 eksploitasi besar masih tercatat. Bahkan dengan penurunan tersebut, aktivitas eksploitasi tetap tinggi, dengan kerugian September melebihi $142 juta pada bulan Juli. Dengan kerugian paruh tahun 2025 yang sudah melampaui $2,2 miliar yang dicuri sepanjang tahun 2024, analis memperingatkan bahwa tanpa langkah-langkah keamanan yang lebih kuat, tahun ini bisa menjadi salah satu yang terburuk dalam sejarah crypto untuk pelanggaran.
