Ang Pagsasamantalang Naganap sa Abracadabra
Ang DeFi lending protocol na Abracadabra ay naging biktima ng isa na namang pagsasamantala, na nagresulta sa pagkawala ng humigit-kumulang $1.8 milyon sa MIM tokens. Ang atakeng ito ay ginamitan ng isang depekto sa kanilang “cook” function. Ang insidenteng ito ay nagmarka ng ikatlong malaking hack na konektado sa Abracadabra ngayong taon, na nagpalalim ng mga alalahanin tungkol sa seguridad ng mga smart contract ng platform.
Noong Mayo, ang protocol ay muling bumili ng 6.5 milyong MIM, na sumasaklaw sa halos kalahati ng $13 milyon na nawala sa isang pagsasamantalang naganap noong Marso. Kinumpirma ng koponan na hindi naapektuhan ang mga pondo ng mga gumagamit at sinabi nilang inilalaan nila ang bahagi ng $19 milyong treasury upang muling bilhin ang MIM at patatagin ang suplay nito.
Kapansin-pansin, ipinapakita ng data ng blockchain na ang umaatake ay ginamit ang parehong depekto sa anim na magkakaibang wallet address. Sa pamamagitan ng pagtawag sa “cook” function gamit ang tiyak na pagkakasunod-sunod ng aksyon, ang umaatake ay nangutang ng 1,793,755 MIM tokens at kalaunan ay pinalitan ang mga ito ng iba pang mga asset, na nagkamit ng humigit-kumulang $1.7 hanggang $1.8 milyon sa kabuuang kita.
Kinumpirma ng mga analyst sa seguridad na ang pagsasamantalang ito ay hindi dulot ng reentrancy bug o karaniwang flash loan vulnerability kundi nagmula sa isang lohikal na pagkakamali sa code. Ang naapektuhang transaksyon at mga kaugnay na wallet ay na-flag ng mga monitoring platform. Ipinahayag ng development team ng Abracadabra na natukoy at na-mitigate ng DAO ang pagsasamantalang ito, at walang ibang pondo o mga gumagamit ang nasa panganib.
Ang mga paunang mungkahi mula sa mga eksperto sa seguridad ay kinabibilangan ng pagpapatupad ng mga nakahiwalay na state checks para sa bawat aksyon at pagdaragdag ng mga mandatory solvency validations pagkatapos ng lahat ng operasyon ng pangungutang.
Paano Nagsamantala ang Depektibong “Cook” Function
Ayon sa blockchain security firm na BlockSec, ang atake ay nakatuon sa “cook” function ng Abracadabra. Ang tampok na ito ay dinisenyo upang payagan ang mga gumagamit na magsagawa ng maraming paunang natukoy na operasyon sa isang solong transaksyon. Habang ang disenyo na ito ay naglalayong mapabuti ang kahusayan, lumikha rin ito ng isang mapanganib na kahinaan dahil sa ibinahaging status tracking sa loob ng function.
Ang bawat aksyon na isinagawa sa ilalim ng “cook” function ay nagbabahagi ng isang solong status variable. Kapag naganap ang isang operasyon ng pangungutang (action = 5), itinatakda ng sistema ang isang flag na nagpapahiwatig na kinakailangan ang isang solvency check sa dulo ng transaksyon. Gayunpaman, kapag may sumunod na ibang aksyon (action = 0), tinatawag nito ang isang internal helper function na tinatawag na “additionalCookAction.” Ang helper function na ito ay epektibong walang laman at nire-reset ang solvency flag sa false, na nilalampasan ang naunang setting.
Ang pagkukulang na ito ay nagbigay-daan sa mga umaatake na pagsamahin ang dalawang aksyon, [5, 0] upang mangutang ng mga asset habang nilalampasan ang insolvency verification. Bilang resulta, ang huling solvency check ay hindi kailanman naisagawa, na nagpapahintulot sa umaatake na ubusin ang mga pondo ng protocol.
Nagbabala ang mga analyst na habang patuloy na inuuna ng mga DeFi platform ang kakayahang umangkop at composability, ang mga umaatake ay nagiging mas bihasa sa pagtukoy ng mga nakaligtaang dependencies sa loob ng kumplikadong lohika ng smart contract. Ang pagpapalakas ng mga testing framework, pagpapabuti ng mga pagsusuri sa code, at pagpapatupad ng patuloy na pagmamanman ay ngayon ay itinuturing na mga mahalagang hakbang upang protektahan ang mga protocol at mga pondo ng gumagamit.
Ang Tumataas na Bilang ng DeFi Hacks
Ang sektor ng decentralized finance (DeFi) ay nahaharap sa isa sa mga pinakamahirap na taon nito, na may mga pagsasamantala na umabot sa mga rekord na mataas sa 2025. Ang parehong biktima, ang Abracadabra, ay nakaranas ng $13 milyon na Ether (ETH) breach noong Marso 25, 2025, matapos na samantalahin ng mga umaatake ang mga kumplikadong lohika na nakabaon sa loob ng arkitektura ng smart contract nito.
Ang pagsasamantalang ito ay nakatuon sa mga GMX token pools at umubos ng 6,260 ETH. Hindi tulad ng mga karaniwang kahinaan na konektado sa mga arithmetic errors o access control, ang atakeng ito ay ginamit ang multi-step transaction logic, na ginawang napakahirap matukoy sa panahon ng mga audit.
Iyon ang ikalawang malaking pagsasamantalang naganap sa Abracadabra sa taong ito, kasunod ng isang $6.49 milyon na insidente noong Enero 2024 na nagdulot ng destabilization sa kanyang Magic Internet Money (MIM) stablecoin. Ang atake ay kinasangkutan ng ilang “cauldrons” sa Ethereum.
Ang mga blockchain sleuths na Cyvers Alerts ay kalaunan ay nagbunyag na ginamit ng hacker ang 1 ETH mula sa Tornado Cash, ang pinahintulutang privacy mixer, upang pondohan ang operasyon, na sa huli ay umubos ng 2,740 ETH at inilipat ang $4 milyon sa isang bagong wallet.
Ang atake sa Abracadabra ay bahagi ng mas malawak na trend ng pagtaas ng mga pagnanakaw ng crypto. Ayon sa Chainalysis, higit sa $2.17 bilyon ang ninakaw sa pagitan ng Enero at Hunyo 2025, halos tumutugma sa kabuuang pagkawala ng 2024. Itinataas ng CertiK ang figure na mas mataas pa, sa $2.47 bilyon, na pangunahing pinapagana ng $1.5 bilyon na Bybit hack noong Pebrero—isa sa pinakamalaking breach ng exchange sa kasaysayan.
Sa buwanang batayan, ang mga hack ay nagdulot ng tinatayang $127.06 milyon na pagkawala noong Setyembre 2025. Habang ang figure na ito ay kumakatawan sa 22% na pagbaba mula sa $163 milyon noong Agosto, halos 20 pangunahing pagsasamantalang naitala pa rin. Kahit na may pagbaba, ang aktibidad ng pagsasamantalang ay nananatiling mataas, na ang mga pagkawala noong Setyembre ay lumampas sa $142 milyon noong Hulyo.
Sa mga pagkawala sa kalagitnaan ng taon ng 2025 na lumampas na sa $2.2 bilyon na ninakaw sa buong 2024, nagbabala ang mga analyst na kung walang mas malalakas na hakbang sa seguridad, ang taong ito ay maaaring maging isa sa pinakamasama sa kasaysayan ng crypto para sa mga breach.
