Översikt av Abracadabra-attacken
DeFi-låneprotokollet Abracadabra har blivit offer för ännu en attack, där cirka 1,8 miljoner dollar i MIM-tokens har förlorats på grund av en sårbarhet i dess ”cook”-funktion. Detta brott markerar det tredje stora hack som är kopplat till Abracadabra i år, vilket fördjupar oron kring plattformens kontraktssäkerhet.
Tidigare i maj återköpte protokollet 6,5 miljoner MIM, vilket täckte ungefär hälften av de 13 miljoner dollar som förlorades i marsutnyttjandet. Teamet bekräftade att användarfonderna inte påverkades och meddelade att de allokerade en del av sin 19 miljoner dollar stora kassa för att återköpa MIM och stabilisera dess utbud.
Anmärkningsvärt är att blockchain-data visar att angriparen utnyttjade samma sårbarhet över sex olika plånboksadresser. Genom att anropa ”cook”-funktionen med en specifik åtgärdssekvens lånade angriparen 1 793 755 MIM-tokens och bytte senare dessa mot andra tillgångar, vilket resulterade i totala vinster på cirka 1,7 till 1,8 miljoner dollar.
Säkerhetsanalytiker bekräftade att utnyttjandet inte berodde på en reentrancy-bugg eller en typisk flash-lånesårbarhet, utan helt och hållet kom från ett logiskt fel i koden. Den påverkade transaktionen och de associerade plånböckerna har flaggats av övervakningsplattformar.
Utnyttjandet av ”cook”-funktionen
Enligt blockchain-säkerhetsföretaget BlockSec riktade attacken sig mot Abracadabras ”cook”-funktion. Denna funktion är utformad för att låta användare utföra flera fördefinierade operationer i en enda transaktion.
Även om denna design syftar till att förbättra effektiviteten, skapade den också en farlig sårbarhet på grund av delad statusövervakning inom funktionen. Varje åtgärd som utförs under ”cook”-funktionen delar en enda statusvariabel. När en låneoperation (åtgärd = 5) inträffar, sätter systemet en flagga som indikerar att en solvenskontroll krävs i slutet av transaktionen.
Men när en annan åtgärd (åtgärd = 0) följer, anropar den en intern hjälpfunktion som heter ”additionalCookAction”. Denna hjälpfunktion är i praktiken tom och återställer solvensflaggan till falsk, vilket åsidosätter den tidigare inställningen. Denna förbiseelse gjorde det möjligt för angripare att kombinera de två åtgärderna, [5, 0], för att låna tillgångar samtidigt som de kringgick insolvensverifieringen.
Som ett resultat utfördes den slutliga solvenskontrollen aldrig, vilket lät angriparen tömma protokollens medel.
Ökande hot mot DeFi-sektorn
Analytiker varnar för att när DeFi-plattformar fortsätter att prioritera flexibilitet och komposition, blir angripare alltmer skickliga på att identifiera förbisedda beroenden inom komplex smart kontraktslogik. Att stärka testningsramar, förbättra kodgranskningar och implementera kontinuerlig övervakning ses nu som viktiga steg för att skydda protokoll och användarfonder.
Trender inom kryptohack
Den decentraliserade finanssektorn (DeFi) står inför ett av sina tuffaste år hittills, med utnyttjanden som skjuter i höjden till rekordnivåer 2025. Samma offer, Abracadabra, drabbades av ett hack på 13 miljoner dollar i Ether (ETH) den 25 mars 2025, efter att angripare utnyttjat komplexa logiska brister djupt begravda inom dess smarta kontraktsarkitektur.
Utnyttjandet riktade sig mot GMX-tokenpooler och tömde 6 260 ETH. Till skillnad från vanliga sårbarheter kopplade till aritmetiska fel eller åtkomstkontroll, utnyttjade denna attack flerstegs transaktionslogik, vilket gjorde den exceptionellt svår att upptäcka under revisioner.
Det var Abracadabras andra stora utnyttjande för året, efter en incident på 6,49 miljoner dollar i januari 2024 som destabiliserade dess Magic Internet Money (MIM) stablecoin. Attacken involverade flera ”kittlar” på Ethereum.
Blockchain-detektiverna Cyvers Alerts avslöjade senare att hackern använde 1 ETH från Tornado Cash, den sanktionerade integritetsmixern, för att finansiera operationen, och slutligen stjäla 2 740 ETH och flytta 4 miljoner dollar till en ny plånbok.
Abracadabra-attacken är en del av en bredare trend av ökande kryptostölder. Enligt Chainalysis stals över 2,17 miljarder dollar mellan januari och juni 2025, vilket nästan matchar hela 2024 års totala förluster. CertiK placerade siffran ännu högre, på 2,47 miljarder dollar, drivet till stor del av februaris hack på 1,5 miljarder dollar på Bybit – en av de största börshacken i historien.
På månadsbasis orsakade hack uppskattningsvis 127,06 miljoner dollar i förluster i september 2025. Även om siffran representerar en nedgång på 22% från augustis 163 miljoner dollar, registrerades nästan 20 stora utnyttjanden fortfarande. Även med nedgången förblir utnyttjandeaktiviteten hög, med septemberförluster som överstiger juli månads 142 miljoner dollar.
Med 2025 års halvårs förluster som redan överstiger de 2,2 miljarder dollar som stals under hela 2024, varnar analytiker för att utan starkare säkerhetsåtgärder kan detta år rankas bland de värsta i kryptohistorien för intrång.
