DeFi projesi Abracadabra, platformundan yaklaşık 1,7 milyon Dolar çeken yeni bir saldırıya uğradı.
Blockchain güvenlik firması Go Security, 4 Ekim’de bu ihlali tespit etti ve saldırganların Tornado Cash üzerinden yaklaşık 51 ETH akladığını doğruladı. Haberin yazıldığı sırada, saldırganın cüzdanı (0x1AaaDe olarak tanımlanan) hala yaklaşık 344 ETH, yani yaklaşık 1,55 milyon Dolar değerinde varlık bulunduruyordu.
SponsoredAbracadabra Üçüncü Kez Nasıl İstismar Edildi?
Güvenlik araştırmacısı Weilin Li, bu saldırıyı doğruladı ve saldırganın Abracadabra’nın akıllı kontrat değişkenlerini manipüle ederek bir ödeme gücü kontrolünü atlattığını açıkladı.
Bu durum, saldırganların belirlenen limitin ötesinde varlık ödünç almasına olanak tanıdı ve Abracadabra ekibi, daha fazla kaybı önlemek için tüm kontratları durdurdu.
Başka bir blockchain denetim firması olan Phalcon, sorunun kökenini platformun cook fonksiyonundaki hatalı bir mantık dizisine kadar izledi. Bu, kullanıcıların tek bir işlemde birkaç önceden tanımlanmış eylemi gerçekleştirmesine olanak tanıyan bir mekanizmadır.
Firmaya göre, saldırgan iki operasyon gerçekleştirerek önemli güvenlik önlemlerini devre dışı bıraktı.
İlk olarak, eylem 5 olarak bilinen işlem, ödeme gücü kontrollerinden geçmesi gereken bir borçlanma sürecini başlattı. İkinci olarak, eylem 0 olarak adlandırılan işlem, kontrol bayrağını yeniden yazan ve son doğrulama adımını atlayan boş bir güncelleme fonksiyonu olarak hareket etti.
Saldırgan, bu deseni altı farklı adres üzerinde tekrarlayarak 1,79 milyon MIM token’dan fazlasını çekti.
Haberin yazıldığı sırada, Abracadabra henüz olayla ilgili kamuoyuna bir açıklama yapmamıştı. Dikkat çekici bir şekilde, projenin resmi X hesabı Eylül ayı başından beri sessizliğini koruyor.
SponsoredAncak, Go Security, Abracadabra ekibinin Discord’da etkilenen MIM arzını geri almak için DAO rezerv fonlarını kullanacağını doğruladığını bildirdi.
Bu arada, doğrulanırsa, son olay Abracadabra’ya karşı iki yıl içinde üçüncü saldırı olacak.
Ocak 2024’te, platform 6,49 milyon Dolar kaybettiği bir saldırıya uğradı ve bu durum MIM stablecoin’inin ABD Doları’na karşı değer kaybetmesine neden oldu. Mart 2025’teki ikinci bir saldırı, kazan sözleşmelerinden 13 milyon Dolar daha çekti ve ardından ekip, saldırgana %20 ödül teklif etti.
Bu tür ihlallerin tekrarlanması, DeFi protokolünün güvenliği ve çapraz zincirli borç verme mimarilerinin sürdürülebilirliği hakkında yeni soruları gündeme getiriyor.
Sponsored Sponsored