Abracadabra Na-Hack na Naman: $1.7 Million Nawala sa DeFi Exploit

Abracadabra, Isang Sikat na DeFi Lending Platform, Na-Exploit na Naman, Nawalan ng $1.7 Million
Sabi ng mga security expert, in-exploit ng attacker ang butas sa smart contract para i-bypass ang solvency checks at nakaw ng pondo.
Samantala, nag-pause ang team ng project sa lahat ng contracts at plano nilang gamitin ang DAO reserves para bilhin ulit ang mga nanakaw na MIM tokens.

Nagkaroon ng bagong exploit ang DeFi project na Abracadabra na nagresulta sa pagkawala ng nasa $1.7 milyon mula sa kanilang platform.

Na-flag ng blockchain security firm na Go Security ang breach noong October 4 at kinumpirma na ang mga attacker ay nag-launder na ng nasa 51 ETH gamit ang Tornado Cash. Sa oras ng pag-uulat, ang wallet ng attacker (na kilala bilang 0x1AaaDe) ay may hawak pa ring nasa 344 ETH, na nagkakahalaga ng humigit-kumulang $1.55 milyon.

Paano Na-Exploit ang Abracadabra sa Ikatlong Beses

Na-verify ng security researcher na si Weilin Li ang exploit at ipinaliwanag na ang attacker ay nagmanipula ng mga variable sa smart contract ng Abracadabra para maiwasan ang solvency check.

Dahil dito, nagawa nilang manghiram ng assets na lampas sa limitasyon, kaya’t napilitan ang team ng Abracadabra na i-pause ang lahat ng contracts para maiwasan ang karagdagang pagkalugi.

Isa pang blockchain audit firm, ang Phalcon, ay nagsuri at natukoy na ang ugat ng problema ay nasa maling logic sequence sa cook function ng platform. Ito ay isang mekanismo na nagpapahintulot sa mga user na mag-execute ng ilang predefined actions sa isang transaction.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Ayon sa firm, ang attacker ay nagsagawa ng dalawang operasyon na nag-override sa mga pangunahing safeguards.

Ang una, na kilala bilang action 5, ay nagpasimula ng borrowing process na dapat sana ay dumaan sa solvency checks. Ang pangalawa, na tinawag na action 0, ay umakto bilang isang empty update function na nag-rewrite ng check flag at nilaktawan ang final validation step.

Na-drain ng attacker ang mahigit 1.79 milyong MIM tokens sa pamamagitan ng pag-ulit ng pattern na ito sa anim na magkakaibang address.

Sa ngayon, wala pang pampublikong pahayag ang Abracadabra tungkol sa insidente. Kapansin-pansin, ang opisyal na X account ng proyekto ay nanatiling tahimik mula pa noong early September.

Gayunpaman, iniulat ng Go Security na kinumpirma ng team ng Abracadabra sa Discord na gagamitin nila ang DAO reserve funds para muling bilhin ang naapektuhang MIM supply.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Samantala, kung mapatunayan, ang pinakabagong insidente ay magiging pangatlong exploit laban sa Abracadabra sa loob ng wala pang dalawang taon.

Noong January 2024, ang platform ay nawalan ng $6.49 milyon sa isang hack na pansamantalang nag-depeg sa MIM stablecoin mula sa US dollar. Ang pangalawang exploit noong March 2025 ay nag-drain ng isa pang $13 milyon mula sa kanilang cauldron contracts, kung saan nag-alok ang team ng 20% bounty sa hacker.

Ang pag-uulit ng ganitong mga breach ay muling nagbubukas ng mga tanong tungkol sa security ng DeFi protocol at ang sustainability ng cross-chain lending architectures nito.