Abracadabra wird von dritter Sicherheitslücke in zwei Jahren getroffen und verliert 1,7 Millionen Dollar

Das dezentrale Finanzprojekt (DeFi) Abracadabra wurde Opfer einer neuen Sicherheitslücke, durch die rund 1,7 Millionen Dollar von seiner Plattform abgezogen wurden. Dies ist der dritte größere Sicherheitsvorfall für das Protokoll in weniger als zwei Jahren.

Die Sicherheitslücke, über die das Blockchain-Sicherheitsunternehmen Go Security am 4. Oktober berichtete, warf erneut Fragen zur Sicherheit des DeFi-Protokolls und zur Nachhaltigkeit seiner kettenübergreifenden Kreditarchitekturen auf.

Details zum Exploit und zum Angriffsvektor

Go Security bestätigte, dass die Angreifer nach dem Einbruch bereits etwa 51 ETH über Tornado Cash gewaschen haben. Zum Zeitpunkt des Berichts befanden sich in der Wallet des Angreifers, die als 0x1AaaDe identifiziert wurde, noch etwa 344 ETH mit einem ungefähren Wert von 1,55 Millionen US-Dollar.

Der Sicherheitsforscher Weilin Li hat den Exploit verifiziert und erklärt, dass der Angreifer die Smart-Contract-Variablen von Abracadabra manipuliert hat, um eine Kreditprüfung zu umgehen. Diese Manipulation ermöglichte es ihnen, Vermögenswerte über das vorgesehene Limit hinaus auszuleihen, was das Abracadabra-Team dazu veranlasste, alle Verträge zu pausieren, um weitere Verluste zu verhindern.

Eine andere Blockchain-Prüfungsfirma, Phalcon, führte die Ursache auf eine fehlerhafte Logiksequenz in der Plattformfunktion zurück. Dabei handelt es sich um einen Mechanismus, der es Nutzern ermöglicht, mehrere vordefinierte Aktionen in einer einzigen Transaktion durchzuführen.

Nach Angaben des Unternehmens führte der Angreifer zwei Operationen durch, mit denen er die wichtigsten Sicherheitsvorkehrungen umging.

Die erste, als Aktion 5 bezeichnete, leitete einen Kreditprozess ein, der die Solvenzprüfung hätte bestehen müssen. Die zweite, Aktion 0 genannt, fungierte als leere Aktualisierungsfunktion, die das Kontrollkennzeichen umschrieb und den letzten Validierungsschritt übersprang. Der Angreifer erbeutete mehr als 1,79 Millionen MIM-Token, indem er dieses Muster über sechs verschiedene Adressen wiederholte.

Die turbulente Geschichte der Protokollsicherheit

Wenn sich dieser jüngste Vorfall bestätigt, würde er auf zwei frühere, umfangreichere Sicherheitsverletzungen folgen. Im Januar 2024 verlor die Plattform 6,49 Millionen Dollar durch einen Hack, der den Stablecoin MIM kurzzeitig vom US-Dollar abkoppelte.

Ein zweiter Exploit im März 2025 hatte weitere 13 Millionen Dollar aus den Cauldron-Verträgen abgezogen, woraufhin das Team dem Hacker eine Belohnung von 20 Prozent anbot.

Bis zum Redaktionsschluss hat sich Abracadabra noch nicht öffentlich zu dem Vorfall geäußert und der offizielle X-Account des Projekts schweigt seit Anfang September.

Go Security berichtete jedoch, dass das Abracadabra-Team auf Discord bestätigt hat, dass es Reservemittel aus dem DAO verwenden wird, um den betroffenen MIM-Vorrat zurückzukaufen.