Il progetto di finanza decentralizzata (DeFi) Abracadabra ha subito un nuovo exploit che ha drenato circa $1.7 milioni dalla sua piattaforma, segnando il terzo incidente di sicurezza maggiore per il protocollo in meno di due anni.
La violazione, segnalata dalla società di sicurezza blockchain Go Security il 4 ottobre, ha sollevato rinnovati interrogativi sulla sicurezza del protocollo DeFi e sulla sostenibilità delle sue architetture di prestito cross-chain.
🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025
Its official Twitter account @MIM_Spell has not been updated since September 9.
Attacker Address:… pic.twitter.com/IjECKsOCWX
Dettagli dell'Exploit e Vettore d'Attacco
Go Security ha confermato che gli aggressori avevano già riciclato circa 51 ETH attraverso Tornado Cash in seguito alla violazione. Al momento della segnalazione, il wallet dell'aggressore, identificato come 0x1AaaDe, deteneva ancora circa 344 ETH, per un valore approssimativo di $1.55 milioni.
Il ricercatore di sicurezza Weilin Li ha verificato l'exploit e ha spiegato che l'aggressore ha manipolato le variabili dello smart contract di Abracadabra per aggirare un controllo di solvibilità. Questa manipolazione ha permesso loro di prendere in prestito asset oltre il limite previsto, spingendo il team di Abracadabra a mettere in pausa tutti i contratti per prevenire ulteriori perdite.
Un'altra società di audit blockchain, Phalcon, ha ricondotto la causa principale a una sequenza logica difettosa nella funzione della piattaforma. Questo è un meccanismo che consente agli utenti di eseguire diverse azioni predefinite in un'unica transazione.
.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025
Secondo la società, l'aggressore ha eseguito due operazioni che hanno scavalcato le principali salvaguardie.
La prima, nota come azione 5, ha avviato un processo di prestito che avrebbe dovuto superare i controlli di solvibilità. La seconda, chiamata azione 0, ha agito come una funzione di aggiornamento vuota che ha riscritto il flag di controllo e ha saltato il passaggio finale di convalida. L'aggressore ha drenato più di 1.79 milioni di token MIM ripetendo questo schema attraverso sei indirizzi diversi.
La Storia Turbolenta della Sicurezza del Protocollo
Se verificato, quest'ultimo incidente seguirebbe due precedenti violazioni più consistenti. A gennaio 2024, la piattaforma ha perso $6.49 milioni in un hack che aveva brevemente depeggato la stablecoin MIM dal dollaro USA.
Un secondo exploit a marzo 2025 aveva drenato altri $13 milioni dai suoi contratti cauldron, in seguito al quale il team aveva offerto all'hacker una ricompensa del 20%.
Al momento della stampa, Abracadabra deve ancora commentare pubblicamente l'incidente e l'account X ufficiale del progetto è rimasto in silenzio dall'inizio di settembre.
Tuttavia, Go Security ha riferito che il team di Abracadabra ha confermato su Discord che utilizzerà i fondi di riserva della DAO per riacquistare la fornitura di MIM colpita.
