Abracadabra subisce il terzo exploit DeFi mentre gli hacker prosciugano 1,7 milioni di dollari

Il progetto DeFi Abracadabra è stato vittima di un nuovo exploit che ha prosciugato circa 1,7 milioni di dollari dalla sua piattaforma.

L'azienda di sicurezza blockchain Go Security ha segnalato la violazione il 4 ottobre e ha confermato che gli aggressori avevano già riciclato circa 51 ETH tramite Tornado Cash. Al momento della segnalazione, il portafoglio dell'aggressore (identificato come 0x1AaaDe) conteneva ancora circa 344 ETH, per un valore approssimativo di 1,55 milioni di dollari.

Come Abracadabra è stato sfruttato per la terza volta

Il ricercatore di sicurezza Weilin Li ha verificato l'exploit e ha spiegato che l'aggressore ha manipolato le variabili dello smart contract di Abracadabra per aggirare un controllo di solvibilità.

Ciò ha consentito loro di prendere in prestito risorse oltre il limite previsto, spingendo il team di Abracadabra a sospendere tutti i contratti per evitare ulteriori perdite.

Un'altra società di revisione blockchain, Phalcon, ha individuato la causa principale in una sequenza logica errata nella funzione "cook" della piattaforma. Si tratta di un meccanismo che consente agli utenti di eseguire diverse azioni predefinite in un'unica transazione.

@MIM_Spell è stato attaccato poche ore fa, causando una perdita di circa 1,7 milioni di dollari. La causa principale è da ricercarsi nella logica di implementazione difettosa della funzione cook, che consente agli utenti di eseguire più operazioni predefinite in un'unica transazione. Nello specifico, le azioni condividono un… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) 4 ottobre 2025

Secondo l'azienda, l'aggressore ha eseguito due operazioni che hanno violato le principali misure di sicurezza.

La prima, nota come azione 5, avviava un processo di prestito che avrebbe dovuto superare i controlli di solvibilità. La seconda, nota come azione 0, fungeva da funzione di aggiornamento vuota, riscrivendo il flag di controllo e saltando la fase di convalida finale.

L'aggressore ha prosciugato più di 1,79 milioni di token MIM ripetendo questo schema su sei indirizzi diversi.

Al momento in cui scriviamo, Abracadabra non ha ancora rilasciato dichiarazioni pubbliche sull'accaduto. In particolare, l'account ufficiale X del progetto è rimasto in silenzio dall'inizio di settembre.

Tuttavia, Go Security ha riferito che il team di Abracadabra ha confermato su Discord che avrebbe utilizzato i fondi di riserva di DAO per riacquistare la fornitura MIM interessata.

Avviso di sicurezza GoPlus: la piattaforma di prestiti e stablecoin Abracadabra ( $SPELL ) sembra essere stata nuovamente attaccata, con perdite pari a circa 1,77 milioni di dollari.
Il suo account Twitter ufficiale @MIM_Spell non è stato aggiornato dal 9 settembre.
Indirizzo dell'attaccante:… pic.twitter.com/IjECKsOCWX
— GoPlus Security (@GoPlusSecurity) 5 ottobre 2025

Nel frattempo, se confermato, l'ultimo incidente segnerebbe il terzo exploit contro Abracadabra in meno di due anni.

Nel gennaio 2024, la piattaforma ha perso 6,49 milioni di dollari in un attacco hacker che ha temporaneamente sganciato la stablecoin MIM dal dollaro statunitense . Un secondo exploit nel marzo 2025 ha prosciugato altri 13 milioni di dollari dai suoi contratti Cauldron, dopodiché il team ha offerto all'hacker una ricompensa del 20%.

Il ripetersi di tali violazioni solleva rinnovati interrogativi sulla sicurezza del protocollo DeFi e sulla sostenibilità delle sue architetture di prestito cross-chain.

Il post Abracadabra subisce il terzo exploit DeFi mentre gli hacker sottraggono 1,7 milioni di dollari è apparso per la prima volta su BeInCrypto .