摘要

Abracadabra的第三次漏洞利用导致170万美元损失，黑客利用了智能合约缺陷。

黑客在攻击Abracadabra后通过Tornado Cash洗钱。

Abracadabra暂停合约以限制最新漏洞造成的进一步损失。

Abracadabra在2024年和2025年的先前黑客攻击导致1950万美元损失。

去中心化金融(DeFi)协议Abracadabra成为第三次重大漏洞攻击的受害者。黑客从平台中窃取了约170万美元，这标志着该项目的又一次挫折。区块链安全公司Go Security于2025年10月4日首次发现了这次漏洞。此次攻击发生在平台之前已损失数百万美元的事件之后，引发了对其安全措施的担忧。

攻击是如何展开的

10月4日，Go Security报告了最新的漏洞，揭示了黑客成功利用了Abracadabra智能合约中的一个漏洞。攻击者操纵了平台的合约变量，使他们能够绕过偿付能力检查。这种利用使他们能够借入超出预期限制的资产，导致协议遭受重大损失。

安全研究员Weilin Li确认了这次漏洞，解释说漏洞是由于智能合约中的逻辑错误造成的。攻击利用了Abracadabra的cook函数中的一个序列错误，该函数设计用于在单个交易中执行多个操作。根据另一家区块链审计公司Phalcon的说法，这次漏洞利用是通过两个特定操作实现的。

第一个称为"操作5"，触发了一个旨在通过偿付能力检查的借款过程。第二个标记为"操作0"，通过覆盖检查标志绕过了验证步骤。攻击者在六个不同的地址上重复这一过程，在此过程中窃取了超过179万MIM代币。

Abracadabra团队的回应

漏洞被利用后，Abracadabra团队迅速采取行动防止进一步损害。他们暂停了平台上的所有合约以限制额外损失。在报告时，黑客的钱包中包含约344 ETH，价值约155万美元，尽管被盗资金已经部分通过Tornado Cash进行了洗钱。

Go Security指出，Abracadabra团队确认在Discord上表示将使用其DAO储备资金回购受影响的MIM代币。然而，截至10月5日，Abracadabra的官方社交媒体渠道，包括其X账户，对此事件保持沉默。这种缺乏沟通引发了对项目持续透明度的担忧。

先前的漏洞引发担忧

这次漏洞并非Abracadabra第一次成为攻击者的目标。2024年1月，该平台遭受了一次黑客攻击，导致649万美元的损失，并短暂导致MIM稳定币与美元脱钩。2025年3月的第二次漏洞利用从Abracadabra的cauldron合约中又抽走了1300万美元，导致团队向黑客提供20%的赏金以换取被盗资金。

在相对较短的时间内反复发生此类漏洞，引发了对平台安全性的持续质疑。尽管团队努力解决漏洞，这些反复发生的攻击已经损害了项目的声誉，并引发了对其跨链借贷系统可持续性的担忧。

Abracadabra安全的未来

随着第三次漏洞利用增加了不断增长的安全问题列表，DeFi领域正在质疑Abracadabra计划如何加强其协议。虽然团队对当前漏洞的反应似乎迅速，但这些行动是否足以恢复用户信任并防止进一步漏洞，仍有待观察。

Abracadabra面临的持续挑战突显了在快速发展的DeFi领域中强大安全措施的重要性。目前，平台的未来安全策略可能仍将受到审查，因为开发人员和用户都在等待项目团队给出更明确的答案。

