Das dezentrale Finanzprojekt (DeFi) Abracadabra wurde Opfer einer neuen Sicherheitslücke, durch die rund 1,7 Millionen Dollar von seiner Plattform abgezogen wurden. Dies ist der dritte größere Sicherheitsvorfall für das Protokoll in weniger als zwei Jahren.
Die Sicherheitslücke, über die das Blockchain-Sicherheitsunternehmen Go Security am 4. Oktober berichtete, warf erneut Fragen zur Sicherheit des DeFi-Protokolls und zur Nachhaltigkeit seiner kettenübergreifenden Kreditarchitekturen auf.
🚨 GoPlus Security Alert: Die Lending- und Stablecoin-Plattform Abracadabra ( $SPELL ) scheint erneut angegriffen worden zu sein, mit einem Schaden von rund 1,77 Millionen Dollar.
- GoPlus Security 🚦 (@GoPlusSecurity) Oktober 5, 2025
Ihr offizieller Twitter-Account @@MIM_Spell wurde seit dem 9. September nicht mehr aktualisiert.
Angreifer-Adresse:... pic.twitter.com/IjECKsOCWX
Details zum Exploit und zum Angriffsvektor
Go Security bestätigte, dass die Angreifer nach dem Einbruch bereits etwa 51 ETH über Tornado Cash gewaschen haben. Zum Zeitpunkt des Berichts befanden sich in der Wallet des Angreifers, die als 0x1AaaDe identifiziert wurde, noch etwa 344 ETH mit einem ungefähren Wert von 1,55 Millionen US-Dollar.
Der Sicherheitsforscher Weilin Li hat den Exploit verifiziert und erklärt, dass der Angreifer die Smart-Contract-Variablen von Abracadabra manipuliert hat, um eine Kreditprüfung zu umgehen. Diese Manipulation ermöglichte es ihnen, Vermögenswerte über das vorgesehene Limit hinaus auszuleihen, was das Abracadabra-Team dazu veranlasste, alle Verträge zu pausieren, um weitere Verluste zu verhindern.
Eine andere Blockchain-Prüfungsfirma, Phalcon, führte die Ursache auf eine fehlerhafte Logiksequenz in der Plattformfunktion zurück. Dabei handelt es sich um einen Mechanismus, der es Nutzern ermöglicht, mehrere vordefinierte Aktionen in einer einzigen Transaktion durchzuführen.
.@MIM_Spell wurde vor Stunden angegriffen, was zu einem Verlust von ~$1,7 Mio. führte. Die Ursache liegt in der fehlerhaften Implementierungslogik der cook-Funktion, die es Benutzern ermöglicht, mehrere vordefinierte Operationen in einer einzigen Transaktion auszuführen. Insbesondere teilen die Aktionen eine gemeinsame... pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) Oktober 4, 2025
Nach Angaben des Unternehmens führte der Angreifer zwei Operationen durch, mit denen er die wichtigsten Sicherheitsvorkehrungen umging.
Die erste, als Aktion 5 bezeichnete, leitete einen Kreditprozess ein, der die Solvenzprüfung hätte bestehen müssen. Die zweite, Aktion 0 genannt, fungierte als leere Aktualisierungsfunktion, die das Kontrollkennzeichen umschrieb und den letzten Validierungsschritt übersprang. Der Angreifer erbeutete mehr als 1,79 Millionen MIM-Token, indem er dieses Muster über sechs verschiedene Adressen wiederholte.
Die turbulente Geschichte der Protokollsicherheit
Wenn sich dieser jüngste Vorfall bestätigt, würde er auf zwei frühere, umfangreichere Sicherheitsverletzungen folgen. Im Januar 2024 verlor die Plattform 6,49 Millionen Dollar durch einen Hack, der den Stablecoin MIM kurzzeitig vom US-Dollar abkoppelte.
Ein zweiter Exploit im März 2025 hatte weitere 13 Millionen Dollar aus den Cauldron-Verträgen abgezogen, woraufhin das Team dem Hacker eine Belohnung von 20 Prozent anbot.
Bis zum Redaktionsschluss hat sich Abracadabra noch nicht öffentlich zu dem Vorfall geäußert und der offizielle X-Account des Projekts schweigt seit Anfang September.
Go Security berichtete jedoch, dass das Abracadabra-Team auf Discord bestätigt hat, dass es Reservemittel aus dem DAO verwenden wird, um den betroffenen MIM-Vorrat zurückzukaufen.
