分散型金融(DeFi)プロジェクトAbracadabraは、そのプラットフォームから約170万ドルを流出させる新たなエクスプロイトに見舞われ、このプロトコルにとって2年足らずで3件目の重大なセキュリティインシデントとなりました。
ブロックチェーンセキュリティ企業のGo Securityが10月4日に報告した今回の侵害は、DeFiプロトコルのセキュリティと、そのクロスチェーン融資アーキテクチャの持続可能性について、新たな疑問を投げかけた。
。🚨GoPlus Security Alert: レンディングおよびステーブルコインプラットフォームAbracadabra ( $SPELL ) が再び攻撃を受けたようで、約177万ドルの損失が発生しています。
- GoPlus Security 🚦 (@GoPlusSecurity) 2025年10月5日
その公式Twitterアカウント@@MIM_Spellは9月9日以来更新されていません。
攻撃者のアドレスは... pic.twitter.com/IjECKsOCWX
エクスプロイトと攻撃の詳細
Go Securityは、攻撃者が侵害後にトルネードキャッシュを通じてすでに約51ETHを洗浄したことを確認しました。報告の時点では、0x1AaaDeと特定された攻撃者のウォレットにはまだ約344ETHが残っており、おおよその価値は155万ドルでした。
セキュリティ研究者のWeilin Li氏は、エクスプロイトを検証し、攻撃者は信用調査をバイパスするためにAbracadabraのスマートコントラクト変数を操作したと説明しています。
別のブロックチェーン監査会社であるファルコンは、根本的な原因をプラットフォーム機能のロジックシーケンスに欠陥があるためだと突き止めた。これは、ユーザーが1つのトランザクションで複数の事前定義されたアクションを実行できるようにする仕組みです。
....@MIM_Spellが数時間前に攻撃され、〜170万ドルの損失が発生しました。根本的な原因は、cook 関数の実装ロジックに欠陥があったことに起因しています。この関数によって、ユーザは 1 つのトランザクションで複数の定義済みの操作を実行できます。pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) 2025年10月4日
同社によると、攻撃者は重要なセーフガードをバイパスする2つの操作を行いました。
1つ目は「アクション5」と呼ばれるもので、支払能力チェックを通過するはずの融資プロセスを開始しました。アクション0と呼ばれる2つ目の操作は、制御フラグを書き換え、最終的な検証ステップをスキップする空の更新関数として機能しました。
プロトコル セキュリティの激動の歴史
検証された場合、この最新のインシデントは、以前の2つの、より重大な侵害に続くことになります。2024年1月、stablecoin MIMを米ドルから一時的に非推奨にしたハッキングで、プラットフォームは649万ドルを失いました。
2025年3月の2回目のエクスプロイトでは、cauldronの契約からさらに1300万ドルが流出し、その後チームはハッカーに20%の報酬を提供しました。
報道時点では、アブラカダブラはこの事件についてまだ公にコメントしておらず、プロジェクトの公式Xアカウントは9月上旬以来沈黙を保っています。
しかし、Go Securityは、AbracadabraチームがDAOの予備資金を使って、影響を受けたMIMサプライを買い戻すことをDiscordで確認したと報告しています。
