DeFi-hyökkäys Abracadabra-protokollassa
DeFi-lainausprotokolla Abracadabra on jälleen joutunut hyökkäyksen kohteeksi, menettäen noin 1,8 miljoonaa dollaria MIM-tokenia monimutkaisessa hyökkäyksessä, joka hyödyntää sen ”cook”-toiminnon vikaa. Tämä rikkomus merkitsee kolmatta suurta hakkerointia, joka liittyy Abracadabraan tänä vuonna, mikä syventää huolia alustan älysopimusten turvallisuudesta.
Aiemmin toukokuussa protokolla osti takaisin 6,5 miljoonaa MIM-tokenia, kattaen noin puolet 13 miljoonasta dollarista, joka menetettiin maaliskuun hyökkäyksessä. Tiimi vahvisti, että käyttäjien varat eivät olleet vaarassa ja ilmoitti käyttäneensä osan 19 miljoonan dollarin valtiovarastostaan MIM-tokenien takaisinostoon ja tarjonnan vakauttamiseen.
Huomionarvoista on, että lohkoketjudata osoittaa, että hyökkääjä käytti samaa vikaa kuudessa eri lompakko-osoitteessa.
Kutsumalla ”cook”-toimintoa tietyssä järjestyksessä, hyökkääjä lainasi 1 793 755 MIM-tokenia ja myöhemmin vaihtoi ne muihin omaisuuksiin, saaden yhteensä noin 1,7 – 1,8 miljoonaa dollaria voittoa. Turvallisuusasiantuntijat vahvistivat, että hyökkäys ei johtunut reentrancy-bugista tai tyypillisestä flash-lainahaavoittuvuudesta, vaan se johtui täysin loogisesta virheestä koodissa.
Vaikuttavat transaktiot ja niihin liittyvät lompakot on merkitty valvontaplatseilla. Abracadabran kehitystiimi huomautti, että DAO on tunnistanut ja lieventänyt hyökkäystä, eikä muita varoja tai käyttäjiä ole vaarassa. Varhaiset ehdotukset turvallisuusasiantuntijoilta sisältävät eristettyjen tilatarkistusten toteuttamisen jokaiselle toiminnolle ja pakollisten maksukykyvalidointien lisäämisen kaikkien lainatoimien jälkeen.
Miten viallinen ”cook”-toiminto hyödynnettiin
Lohkoketjuturvallisuusyritys BlockSecin mukaan hyökkäys kohdistui Abracadabran ”cook”-toimintoon. Tämä ominaisuus on suunniteltu mahdollistamaan käyttäjien suorittaa useita ennalta määriteltyjä toimintoja yhdessä transaktiossa. Vaikka tämä suunnittelu pyrkii parantamaan tehokkuutta, se loi myös vaarallisen haavoittuvuuden johtuen jaetusta tilan seurannasta toiminnossa.
Jokainen ”cook”-toiminnon alla suoritettu toiminto jakaa yhden tilamuuttujan. Kun lainatoiminto (toiminto = 5) tapahtuu, järjestelmä asettaa lipun, joka osoittaa, että maksukyky tarkistus on tarpeen transaktion lopussa. Kuitenkin, kun toinen toiminto (toiminto = 0) seuraa, se kutsuu sisäistä apufunktiota nimeltä ”additionalCookAction”. Tämä apufunktio on käytännössä tyhjää ja nollaa maksukyky lipun vääräksi, ohittaen edellisen asetuksen.
Tämä laiminlyönti mahdollisti hyökkääjien yhdistää kaksi toimintoa, [5, 0] lainatakseen omaisuuksia samalla kun he kiersivät maksukyky tarkistusta. Tämän seurauksena lopullista maksukyky tarkistusta ei koskaan suoritettu, mikä antoi hyökkääjälle mahdollisuuden tyhjentää protokollan varat.
Analyytikot varoittavat, että kun DeFi-alustat jatkavat joustavuuden ja yhdistettävyyden priorisoimista, hyökkääjät tulevat yhä taitavammiksi tunnistamaan huomiotta jääneitä riippuvuuksia monimutkaisessa älysopimuslogiikassa. Testauskehysten vahvistaminen, koodikatselmuksien parantaminen ja jatkuvan valvonnan toteuttaminen nähdään nyt olennaisina askeleina protokollien ja käyttäjävarojen suojaamiseksi.
DeFi-hyökkäykset lisääntyvät vuonna 2025
Hajautettu rahoitus (DeFi) -sektori kohtaa yhden vaikeimmista vuosistaan, kun hyökkäykset nousevat ennätyslukemiin vuonna 2025. Sama uhri, Abracadabra, kärsi 13 miljoonan dollarin Ether (ETH) rikkomuksesta 25. maaliskuuta 2025, kun hyökkääjät hyödyntivät monimutkaisia loogisia virheitä, jotka olivat syvällä sen älysopimusarkkitehtuurissa.
Hyökkäys kohdistui GMX-tokenpooliin ja tyhjensi 6 260 ETH. Toisin kuin yleiset haavoittuvuudet, jotka liittyvät matemaattisiin virheisiin tai pääsynhallintaan, tämä hyökkäys käytti monivaiheista transaktiologiiikkaa, mikä teki siitä poikkeuksellisen vaikeasti havaittavan tarkastuksissa.
Tämä oli Abracadabran toinen suuri hyökkäys tänä vuonna, sen jälkeen kun se kärsi 6,49 miljoonan dollarin tapahtumasta tammikuussa 2024, joka vakautti sen Magic Internet Money (MIM) stablecoinin. Hyökkäys sisälsi useita ”kattiloita” Ethereumissa.
Lohkoketjusalapoliisit Cyvers Alerts paljastivat myöhemmin, että hakkeri käytti 1 ETH:ta Tornado Cashista, sanktioidusta yksityisyyssekoittimesta, rahoittaakseen toimintaa, lopulta tyhjentäen 2 740 ETH ja siirtäen 4 miljoonaa dollaria uuteen lompakkoon.
Abracadabra-hyökkäys on osa laajempaa trendiä, jossa kryptovarkauksien määrä kasvaa. Chainalysisin mukaan yli 2,17 miljardia dollaria varastettiin tammikuun ja kesäkuun 2025 välillä, lähes vastaten koko vuoden 2024 kokonaismenetyksiä. CertiK arvioi summan vielä korkeammaksi, 2,47 miljardiin dollariin, jota ajoi suurelta osin helmikuun 1,5 miljardin dollarin Bybit-hyökkäys – yksi historian suurimmista pörssirikkomuksista.
Kuukausittain hyökkäykset aiheuttivat arviolta 127,06 miljoonan dollarin menetykset syyskuussa 2025. Vaikka luku edustaa 22 prosentin laskua elokuun 163 miljoonasta dollarista, lähes 20 suurta hyökkäystä kirjattiin silti. Huolimatta laskusta, hyökkäystoiminta pysyy korkealla, syyskuun menetyksien ylittäessä heinäkuun 142 miljoonaa dollaria.
Vuoden 2025 puolivuotiset menetykset ovat jo ylittäneet 2,2 miljardia dollaria, joka varastettiin koko vuonna 2024, ja analyytikot varoittavat, että ilman vahvempia turvallisuustoimia tämä vuosi voi olla yksi kryptohistorian pahimmista rikkomuksista.
