アブラカダブラの2年間で3度目の侵入により、「マジック・インターネット・マネー」は消滅しました。攻撃者は支払い能力チェックの欠陥をすり抜けて180万ドルのMIMを流出させ、累積損失は2,100万ドルを超えました。

DeFiレンディングプロトコル「Abracadabra」が新たな攻撃の被害に遭い、「cook」機能の脆弱性を突いた高度な攻撃により、約180万ドル相当のMIMトークンが失われました。今回のハッキングは、今年Abracadabraに関連する3件目の大規模ハッキングとなり、プラットフォームのコントラクトセキュリティに対する懸念が深まりました。

5月初旬、プロトコルは650万MIMを買い戻し、3月のエクスプロイトで失われた1,300万ドルの約半分を補填しました。チームはユーザー資金に影響がなかったことを確認し、1,900万ドルの資金の一部をMIMの買い戻しと供給安定化に充当したと述べました。

注目すべきことに、ブロックチェーンデータによると、攻撃者は6つの異なるウォレットアドレスで同じ脆弱性を悪用していました。特定のアクションシーケンスで「cook」関数を呼び出すことで、攻撃者は1,793,755枚のMIMトークンを借用し、その後それらを他の資産と交換することで、合計約170万ドルから180万ドルの利益を得ました。

セキュリティアナリストは、このエクスプロイトは再入バグや典型的なフラッシュローンの脆弱性によるものではなく、コード内の論理エラーに完全に起因していることを確認しました。影響を受けたトランザクションと関連ウォレットは、監視プラットフォームによってフラグ付けされています。

Abracadabra の開発チームは、DAO がエクスプロイトを特定して軽減しており、他の資金やユーザーは危険にさらされていないと指摘しました。

セキュリティ専門家からの初期の提案には、各アクションに対して分離された状態チェックを実装することと、すべての借入操作の後に必須の支払い能力検証を追加することが含まれています。

アブラカダブラのハッキングで「クック」機能の欠陥が悪用された経緯

ブロックチェーンセキュリティ企業BlockSecによると、今回の攻撃はAbracadabraの「cook」関数を標的としていました。この機能は、ユーザーが単一のトランザクションで複数の定義済み操作を実行できるように設計されています。この設計は効率性の向上を目的としていますが、関数内でのステータス追跡の共有により、危険な脆弱性も生み出していました。

「cook」機能で実行される各アクションは、単一のステータス変数を共有します。借入操作（アクション = 5）が発生すると、システムはトランザクションの終了時に支払能力チェックが必要であることを示すフラグを設定します。

ただし、別のアクション（action = 0）が続くと、「additionalCookAction」という内部ヘルパー関数が呼び出されます。このヘルパー関数は実質的に空であり、ソルベンシーフラグを false にリセットして、以前の設定を上書きします。

この見落としにより、攻撃者は2つのアクション[5, 0]を組み合わせて、破産検証を回避しながら資産を借り入れることができました。その結果、最終的な支払い能力チェックは実行されず、攻撃者はプロトコル資金を流出させることができました。

アナリストは、DeFiプラットフォームが柔軟性と構成可能性を優先し続けるにつれて、攻撃者は複雑なスマートコントラクトロジック内の見落とされた依存関係を特定することにますます熟練していると警告しています。テストフレームワークの強化、コードレビューの改善、継続的な監視の実装は、プロトコルとユーザーの資金を保護するための不可欠なステップと見なされています。

2025年にDeFiハッキングが急増、スマートコントラクトの隠れたリスクが露呈

分散型金融（DeFi）分野はこれまでで最も厳しい年を迎えており、2025年にはエクスプロイトが過去最高を記録する見込みです。同じ被害者であるAbracadabraは、スマートコントラクトアーキテクチャの奥深くに埋め込まれた複雑なロジックの欠陥を攻撃者が悪用した後、2025年3月25日に1,300万ドルのイーサ（ETH）の侵害を受けました。

このエクスプロイトはGMXトークンプールを標的とし、6,260 ETHを流出させました。算術エラーやアクセス制御に関連する一般的な脆弱性とは異なり、この攻撃は複数段階のトランザクションロジックを悪用していたため、監査中に検出することが非常に困難でした。

これは、2024年1月に649万ドルの被害をもたらし、同社のマジック・インターネット・マネー（MIM）ステーブルコインを不安定化した事件に続く、アブラカダブラにとって今年2度目の大規模攻撃となりました。この攻撃には、イーサリアム上の複数の「大釜」が関与していました。

ブロックチェーン調査会社Cyvers Alertsはその後、ハッカーが認可されたプライバシーミキサーであるTornado Cashから1 ETHを資金として使い、最終的に2,740 ETHを流出させて400万ドルを新しいウォレットに移動させたことを明らかにしました。

アブラカダブラ攻撃は、暗号資産盗難の増加という広範なトレンドの一環をなしています。Chainalysisによると、2025年1月から6月の間​​に21億7000万ドル以上が盗まれ、これは2024年の損失総額にほぼ匹敵します。CertiKは、この数字をさらに高く24億7000万ドルと推定しています。これは主に、2月に発生した15億ドル規模のBybitハッキング（史上最大級の取引所侵入事件の一つ）によるものです。

月間ベースでは、2025年9月のハッキングによる損失は推定1億2,706万ドルでした。この数字は8月の1億6,300万ドルから22%減少したものの、依然として約20件の大規模なエクスプロイトが記録されています。減少したにもかかわらず、エクスプロイト活動は依然として活発で、9月の損失は7月の1億4,200万ドルを上回りました。

2025年半ばの損失は2024年全体で盗難された22億ドルをすでに上回っており、アナリストは、より強力なセキュリティ対策がなければ、今年は暗号通貨史上最悪の侵害年になる可能性があると警告しています。