Cuộc tấn công vào giao thức DeFi Abracadabra
Giao thức cho vay DeFi Abracadabra đã trở thành nạn nhân của một cuộc tấn công khác, mất khoảng 1,8 triệu USD trong các token MIM do một lỗ hổng trong chức năng “cook” của nó. Sự cố này đánh dấu cuộc tấn công lớn thứ ba liên quan đến Abracadabra trong năm nay, làm dấy lên mối lo ngại về an ninh hợp đồng của nền tảng này. Vào tháng 5, giao thức đã mua lại 6,5 triệu MIM, bù đắp khoảng một nửa trong số 13 triệu USD đã mất trong cuộc tấn công vào tháng 3. Nhóm phát triển xác nhận rằng quỹ của người dùng không bị ảnh hưởng và cho biết họ đã phân bổ một phần trong kho bạc 19 triệu USD của mình để mua lại MIM và ổn định nguồn cung.
Đáng chú ý, dữ liệu blockchain cho thấy kẻ tấn công đã khai thác cùng một lỗ hổng qua sáu địa chỉ ví khác nhau. Bằng cách gọi chức năng “cook” với chuỗi hành động cụ thể, kẻ tấn công đã vay 1.793.755 token MIM và sau đó hoán đổi chúng lấy các tài sản khác, thu về khoảng 1,7 đến 1,8 triệu USD lợi nhuận tổng cộng. Các nhà phân tích an ninh xác nhận rằng cuộc tấn công không phải do lỗi tái nhập hay lỗ hổng cho vay nhanh điển hình, mà hoàn toàn xuất phát từ một lỗi logic trong mã. Giao dịch bị ảnh hưởng và các ví liên quan đã được các nền tảng giám sát đánh dấu. Nhóm phát triển của Abracadabra cho biết DAO đã xác định và giảm thiểu cuộc tấn công, và không có quỹ hay người dùng nào khác gặp rủi ro.
Những gợi ý ban đầu từ các chuyên gia an ninh bao gồm việc thực hiện kiểm tra trạng thái tách biệt cho mỗi hành động và thêm các xác minh khả năng thanh toán bắt buộc sau tất cả các hoạt động vay.
Cách thức chức năng “cook” bị khai thác trong cuộc tấn công Abracadabra
Theo công ty an ninh blockchain BlockSec, cuộc tấn công đã nhắm vào chức năng “cook” của Abracadabra. Tính năng này được thiết kế để cho phép người dùng thực hiện nhiều thao tác đã định trước trong một giao dịch duy nhất. Mặc dù thiết kế này nhằm cải thiện hiệu quả, nhưng nó cũng tạo ra một lỗ hổng nguy hiểm do theo dõi trạng thái chung trong chức năng.
Mỗi hành động thực hiện dưới chức năng “cook” chia sẻ một biến trạng thái duy nhất. Khi một hoạt động vay (hành động = 5) xảy ra, hệ thống đặt một cờ cho biết rằng cần kiểm tra khả năng thanh toán vào cuối giao dịch. Tuy nhiên, khi một hành động khác (hành động = 0) theo sau, nó gọi một hàm trợ giúp nội bộ có tên “additionalCookAction”. Hàm trợ giúp này thực chất là rỗng và đặt lại cờ khả năng thanh toán thành sai, ghi đè lên cài đặt trước đó. Sự sơ suất này đã cho phép kẻ tấn công kết hợp hai hành động, [5, 0], để vay tài sản trong khi bỏ qua xác minh khả năng thanh toán. Kết quả là, kiểm tra khả năng thanh toán cuối cùng không bao giờ được thực hiện, cho phép kẻ tấn công rút cạn quỹ của giao thức.
Các nhà phân tích cảnh báo rằng khi các nền tảng DeFi tiếp tục ưu tiên tính linh hoạt và khả năng kết hợp, kẻ tấn công ngày càng trở nên tinh vi hơn trong việc xác định các phụ thuộc bị bỏ qua trong logic hợp đồng thông minh phức tạp. Tăng cường khung thử nghiệm, cải thiện đánh giá mã và thực hiện giám sát liên tục hiện được coi là những bước thiết yếu để bảo vệ các giao thức và quỹ của người dùng.
Các cuộc tấn công DeFi gia tăng vào năm 2025
Ngành tài chính phi tập trung (DeFi) đang đối mặt với một trong những năm khó khăn nhất của mình, với các cuộc khai thác tăng vọt lên mức kỷ lục vào năm 2025. Nạn nhân một lần nữa, Abracadabra, đã chịu một cuộc tấn công trị giá 13 triệu USD vào Ether (ETH) vào ngày 25 tháng 3 năm 2025, sau khi kẻ tấn công khai thác các lỗi logic phức tạp được chôn sâu trong kiến trúc hợp đồng thông minh của nó. Cuộc khai thác đã nhắm vào các pool token GMX và rút 6.260 ETH.
Không giống như các lỗ hổng phổ biến liên quan đến lỗi số học hoặc kiểm soát truy cập, cuộc tấn công này đã khai thác logic giao dịch nhiều bước, khiến nó cực kỳ khó phát hiện trong quá trình kiểm toán. Đó là cuộc khai thác lớn thứ hai của Abracadabra trong năm nay, sau một sự cố trị giá 6,49 triệu USD vào tháng 1 năm 2024 đã làm mất ổn định stablecoin Magic Internet Money (MIM) của nó. Cuộc tấn công liên quan đến một số “cauldron” trên Ethereum.
Các nhà điều tra blockchain Cyvers Alerts sau đó tiết lộ rằng hacker đã sử dụng 1 ETH từ Tornado Cash, một mixer bảo mật bị cấm, để tài trợ cho hoạt động, cuối cùng rút 2.740 ETH và chuyển 4 triệu USD đến một ví mới. Cuộc tấn công vào Abracadabra là một phần của xu hướng rộng lớn hơn về việc gia tăng các vụ trộm crypto. Theo Chainalysis, hơn 2,17 tỷ USD đã bị đánh cắp từ tháng 1 đến tháng 6 năm 2025, gần bằng tổng số thiệt hại của năm 2024.
CertiK ước tính con số này còn cao hơn, đạt 2,47 tỷ USD, chủ yếu do cuộc tấn công Bybit trị giá 1,5 tỷ USD vào tháng 2—một trong những vụ vi phạm sàn giao dịch lớn nhất trong lịch sử. Theo tháng, các cuộc tấn công đã gây ra thiệt hại ước tính 127,06 triệu USD vào tháng 9 năm 2025. Mặc dù con số này giảm 22% so với 163 triệu USD của tháng 8, nhưng vẫn có gần 20 cuộc khai thác lớn được ghi nhận. Ngay cả khi có sự suy giảm, hoạt động khai thác vẫn ở mức cao, với thiệt hại tháng 9 vượt quá 142 triệu USD của tháng 7.
Với thiệt hại giữa năm 2025 đã vượt quá 2,2 tỷ USD bị đánh cắp trong toàn bộ năm 2024, các nhà phân tích cảnh báo rằng nếu không có các biện pháp an ninh mạnh mẽ hơn, năm nay có thể đứng trong số những năm tồi tệ nhất trong lịch sử crypto về các vụ vi phạm.
