Abrakadabra uchinchi marta DeFi hujumiga uchradi, xakerlar $1,7 millionni o‘g‘irladi

Abrakadabra, yetakchi DeFi kredit platformasi, ikki yil ichida uchinchi yirik hujumga uchradi va taxminan 1,7 million dollar yo'qotdi.
Xavfsizlik bo'yicha mutaxassislar zararli hujumchi aqlli shartnoma xatosini manipulyatsiya qilib, to'lov qobiliyatini tekshirishni chetlab o'tganini va mablag'larni o'g'irlaganini aytishdi.
Ayni paytda, loyiha jamoasi barcha shartnomalarni to'xtatdi va o'g'irlangan MIM tokenlarini qayta sotib olish uchun DAO zaxiralaridan foydalanishni rejalashtirmoqda.

«Abracadabra» DeFi loyihasi yangi hujumga uchradi va uning platformasidan taxminan 1,7 million dollar o’g’irlandi.

«Go Security» blokcheyn xavfsizlik firmasi 4-oktabr kuni bu buzilish haqida xabar berdi va hujumchilar allaqachon «Tornado Cash» orqali taxminan 51 Efiriumni yuvib yuborganini tasdiqladi. Xabar berish vaqtida hujumchining hamyonida (0x1AaaDe deb aniqlangan) hali ham taxminan 344 Efirium, ya’ni taxminan 1,55 million dollar bor edi.

Abrakadabra qanday qilib uchinchi marta ekspluatatsiya qilindi

Xavfsizlik tadqiqotchisi Veylin Li hujumni tasdiqladi va hujumchi «Abracadabra»ning aqlli shartnoma o’zgaruvchilarini manipulyatsiya qilib, to’lov qobiliyatini tekshirishni chetlab o’tganini tushuntirdi.

Bu ularga belgilangan limitdan ortiq aktivlarni qarz olish imkonini berdi, shundan so’ng «Abracadabra» jamoasi barcha shartnomalarni to’xtatib, qo’shimcha yo’qotishlarning oldini olishga harakat qildi.

Boshqa blokcheyn audit firmasi «Phalcon» platformaning cook funksiyasidagi noto’g’ri mantiqiy ketma-ketlikni muammo ildizi sifatida aniqladi. Bu foydalanuvchilarga bir tranzaksiyada bir nechta oldindan belgilangan harakatlarni bajarishga imkon beruvchi mexanizm.

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

Firma ma’lumotlariga ko’ra, hujumchi asosiy xavfsizlik choralari ustidan ikki operatsiyani amalga oshirgan.

Birinchi operatsiya, 5-harakat deb ataladi, qarz olish jarayonini boshladi, bu to’lov qobiliyatini tekshirishdan o’tishi kerak edi. Ikkinchi operatsiya, 0-harakat deb ataladi, bo’sh yangilash funksiyasi sifatida ishladi va tekshirish bayrog’ini qayta yozib, yakuniy tasdiqlash bosqichini o’tkazib yubordi.

Hujumchi ushbu naqshni olti xil manzilda takrorlab, 1,79 million MIM tokenidan ko’proqni o’g’irladi.

Matbuot vaqti holatiga ko’ra, «Abracadabra» jamoasi hodisa haqida ommaviy izoh bermagan. E’tiborlisi, loyihaning rasmiy «X ijtimoiy tarmog’i» akkaunti sentabr boshidan beri sukut saqlamoqda.

Biroq, «Go Security» xabar berishicha, «Abracadabra» jamoasi «Discord»da DAO zaxira mablag’larini ishlatib, ta’sirlangan MIM ta’minotini qayta sotib olishini tasdiqlagan.

🚨 GoPlus Security Alert: The lending and stablecoin platform Abracadabra ( $SPELL ) appears to have been attacked again, with losses of approximately $1.77 million.

Its official Twitter account @MIM_Spell has not been updated since September 9.

Attacker Address:… pic.twitter.com/IjECKsOCWX
— GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025

Agar tasdiqlansa, bu so’nggi hodisa «Abracadabra»ga ikki yil ichida uchinchi hujum bo’ladi.

2024-yil yanvar oyida platforma 6,49 million dollarni xakerlik hujumida yo’qotdi, bu MIM steyblkoinini AQSh dollaridan ajratib qo’ydi. 2025-yil mart oyida ikkinchi hujumda uning qozon shartnomalaridan yana 13 million dollar o’g’irlandi, shundan so’ng jamoa xakerga 20% mukofot taklif qildi.

Bunday buzilishlarning takrorlanishi «DeFi protokoli» xavfsizligi va uning kross-zanjirli kreditlash arxitekturasi barqarorligi haqida yangi savollarni keltirib chiqarmoqda.