DeFiプロジェクトのAbracadabraが新たな攻撃を受け、約170万ドルがプラットフォームから流出した。
ブロックチェーンセキュリティ企業のGo Securityは10月4日にこの侵害を指摘し、攻撃者がすでに約51ETHをTornado Cashを通じて洗浄したことを確認した。報告時点で、攻撃者のウォレット(0x1AaaDeと特定)は約344ETH、約155万ドル相当を保持していた。
Sponsoredアブラカダブラが3度目の悪用を受けた経緯
セキュリティ研究者のWeilin Liはこの攻撃を確認し、攻撃者がAbracadabraのスマートコントラクトの変数を操作して、支払い能力チェックを回避したと説明した。
これにより、意図された限度を超えて資産を借りることが可能となり、Abracadabraのチームはさらなる損失を防ぐためにすべての契約を一時停止した。
別のブロックチェーン監査会社Phalconは、プラットフォームのクック機能における誤ったロジックシーケンスが根本原因であると追跡した。これは、ユーザーが1つのトランザクションで複数の事前定義されたアクションを実行できるメカニズムである。
同社によれば、攻撃者は重要な安全策を上書きする2つの操作を実行した。
Sponsored最初の操作であるアクション5は、支払い能力チェックを通過するはずの借入プロセスを開始した。次に、アクション0と呼ばれる空の更新関数がチェックフラグを書き換え、最終的な検証ステップをスキップした。
攻撃者はこのパターンを6つの異なるアドレスで繰り返し、179万以上のMIMトークンを流出させた。
本稿執筆時点で、Abracadabraはこの事件について公にコメントしていない。注目すべきは、プロジェクトの公式Xアカウントが9月初めから沈黙していることである。
しかし、Go SecurityはAbracadabraチームがDiscordで、影響を受けたMIM供給を買い戻すためにDAOの予備資金を使用することを確認したと報告した。
一方、確認されれば、今回の事件はAbracadabraに対する2年未満で3回目の攻撃となる。
2024年1月には、プラットフォームがハッキングで649万ドルを失い、MIMステーブルコインが米ドルから一時的に乖離した。2025年3月の2回目の攻撃では、さらに1300万ドルがそのコールドロン契約から流出し、チームはハッカーに20%の報奨金を提供した。
このような侵害の再発は、DeFiプロトコルのセキュリティとそのクロスチェーン貸付アーキテクチャの持続可能性に対する新たな疑問を提起している。
