DeFi 项目 Abracadabra 遭遇了新的攻击,导致其平台损失了约 170 万美元。
区块链安全公司 Go Security 于 10 月 4 日报告了此次攻击,并确认攻击者已通过 Tornado Cash 洗钱约 51 ETH。截至发稿时,攻击者的钱包(标识为 0x1AaaDe)仍持有约 344 ETH,价值约 155 万美元。
<style>.divm, .divd {display: none;} @media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) { .divd {display: block;}}</style>阿布拉卡达布拉如何第三次被利用
安全研究员李伟林 已验证漏洞并解释说攻击者操纵Abracadabra 的智能合约变量来绕过偿付能力检查。
这使得他们能够借入超出预定限额的资产,促使 Abracadabra 团队暂停所有合同以防止进一步的损失。
另一家区块链审计公司 Phalcon追踪根本原因是平台 Cook 函数中存在逻辑序列错误。Cook 函数是一种允许用户在一次交易中执行多个预定义操作的机制。
据该公司称,攻击者进行了两次超越关键安全措施的操作。
<style>.divm, .divd {display: none;} @media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) { .divd {display: block;}}</style>第一个操作称为操作 5,它启动了一个应该通过偿付能力检查的借款流程。第二个操作称为操作 0,它充当一个空的更新函数,重写了检查标志并跳过了最后的验证步骤。
攻击者通过在六个不同的地址重复此模式,窃取了超过 179 万个 MIM 代币。
截至发稿时,Abracadabra 尚未就此事公开发表评论。值得注意的是,该项目的官方 X 账号自 9 月初以来一直保持沉默。
不过,Go Security 报道称,Abracadabra 团队在 Discord 上确认将使用 DAO 储备资金回购受影响的 MIM 供应。
同时,如果得到证实,最新事件将是两年内第三次针对 Abracadabra 的攻击。
2024年1月,该平台黑客攻击损失 649 万美元短暂地脱离了MIM美元的稳定币。2025 年 3 月的第二次攻击又从其大锅合约中榨干了 1300 万美元,之后该团队向黑客提供了 20% 的赏金。
此类违规行为的再次发生引发了人们对DeFi 协议的安全性以及其跨链借贷架构的可持续性。
发表评论 取消回复