DeFi-протокол Abracadabra Money в третий раз за последние два года стал жертвой масштабной атаки, в результате которой злоумышленники вывели около $1,7 млн. Инцидент был зафиксирован 4 октября 2025 года компанией GoPlus Security, которая подтвердила, что часть средств (51 ETH) уже отмыта через Tornado Cash. На момент публикации новости кошелёк хакера (0x1AaaDe) сохранял остаток в 344 ETH (~$1,55 млн).
Исследователь Weilin Li и аудиторская фирма Phalcon детализировали механизм атаки: злоумышленник манипулировал функцией cook, позволяющей выполнять несколько операций в одной транзакции. Последовательно применяя действия 5 (инициирование займа) и 0 (пустое обновление), атакующий обходил проверку solvency, что привело к хищению более 1,79 млн токенов MIM с шести адресов. Команда Abracadabra экстренно приостановила контракты для минимизации ущерба.
В Discord-сообществе проект подтвердил использование резервов DAO для выкупа пострадавшей эмиссии MIM. При этом официальный аккаунт в X (ранее Twitter) @MIM_Spell не обновлялся с начала сентября, что вызвало вопросы о коммуникационной политике. Ранее Abracadabra уже сталкивалась с взломами: в январе 2024 года убытки составили $6,49 млн (депег MIM), а в марте 2025-го — $13 млн, после чего команда предложила хакеру 20% bounty.
ETH
TON
BTC
XRP
RLUSD
HONEY
ENA