长故事短说

AbraCADabra的第三次利用合约漏洞榨取了170万美元。

黑客清洗 偷来的 资金通过 Tornado Cash 在攻击 Abracadabra 之后。

阿布拉卡布拉暂停合同以限制最新漏洞造成的进一步损失。

阿布拉卡布拉在2024年和2025年的先前黑客攻击导致了1950万美元的损失。

阿布拉卡布拉（Abra），一个去中心化金融（DeFi）协议，已经成为其第三次重大漏洞的受害者。黑客从该平台上盗取了大约170万美元，这给该项目带来了又一次打击。该漏洞于2025年10月4日由区块链安全公司Go Security首次发现。这次攻击继之前几次事件后发生，该平台失去了数百万美元，引发了对其安全措施的担忧。

袭击的展开

10月4日，Go Security报告了最新的安全漏洞，指出黑客利用了Abracadabra的智能合约中的一个漏洞。攻击者操控了平台的合约变量，使他们能够绕过偿付能力检查。这一利用使他们能够借出超出预期限制的资产，导致该协议遭受重大损失。

安全研究员李伟林确认了此次漏洞，解释说，该漏洞是由于智能合约中的逻辑错误引起的。攻击利用了 Abracadabra 的 cook 函数中的序列错误，该函数旨在在一个事务中执行多个操作。据另一家区块链审计公司 Phalanct 称，攻击是通过两个特定操作发生的。

首先，称为“操作5”，触发了一种借阅过程，旨在通过偿付能力检查。其次，标记为“操作0”，通过覆盖检查标志绕过了验证步骤。攻击者在六个不同的地址重复了这一过程，在此过程中窃取了超过179万MIM代币。

阿布拉卡达布拉团队的回应

在利用漏洞后，Abracadabra的团队迅速采取行动以防止进一步的损失。他们暂停了平台上的所有合同，以限制进一步的损失。截至报告时，黑客的钱包中大约有344个ETH，价值约155万美元，但被盗资金已经通过Tornado Cash部分清洗。

Go Security指出，Abracadabra团队在Discord上确认将使用其DAO储备资金回购受影响的MIM代币。然而，截至10月5日，包括其X账户在内的Abracadabra官方社交媒体渠道对该事件保持沉默。这种缺乏沟通引发了人们对该项目持续透明度的担忧。

先前的行动引发了担忧

这次漏洞不是Abracadabra第一次被攻击者瞄准。2024年1月，该平台遭受了一次黑客攻击，导致了649万美元的损失，并短暂导致MIM稳定币与美元脱钩。2025年3月的第二次攻击又从Abracadabra的坩埚合约中抽走了额外的1300万美元，促使团队向黑客提供20%的赏金以换取被盗资金。

在相对较短时间内多次发生此类违规行为，引发了人们对平台安全性的持续质疑。尽管团队努力修复漏洞，但这些重复的攻击已经损害了该项目的声誉，并引发了对其跨链贷款系统的可持续性的担忧。

Abra的未来安全

随着第三个漏洞的出现，安全问题的名单继续增加，去中心化金融（DeFi）领域不得不质疑Abracadabra如何在未来加强其协议。虽然团队对当前漏洞的回应似乎迅速，但这些行动是否足以恢复用户信任并防止进一步的漏洞还有待观察。

阿布拉卡布拉面临的持续挑战突显了在快速发展的去中心化金融（DeFi）领域中采取强有力安全措施的重要性。目前，该平台的未来安全策略可能会继续受到关注，因为开发者和用户都在等待项目团队提供更明确的答案。