디파이 프로젝트 아브라카다브라가 약 170만 달러를 플랫폼에서 탈취당하는 새로운 공격을 당했습니다.
블록체인 보안 회사 고 시큐리티는 10월 4일에 이 침해를 경고하고, 공격자들이 이미 토네이도 캐시를 통해 약 51 ETH를 세탁했다고 확인했습니다. 보도 당시, 공격자의 지갑(0x1AaaDe로 식별됨)에는 여전히 약 344 ETH, 약 155만 달러가 남아 있었습니다.
아브라카다브라, 세 번째 공격당하다
보안 연구원 웨일린 리는 이 공격을 확인하고, 공격자가 아브라카다브라의 스마트 계약 변수를 조작하여 지급 능력 검사를 우회했다고 설명했습니다.
이로 인해 그들은 의도된 한도를 초과하여 자산을 빌릴 수 있었고, 아브라카다브라 팀은 추가 손실을 방지하기 위해 모든 계약을 일시 중지했습니다.
또 다른 블록체인 감사 회사인 팔콘은 플랫폼의 요리 기능에서 잘못된 논리 순서가 근본 원인이라고 추적했습니다. 이는 사용자가 한 거래에서 여러 사전 정의된 작업을 실행할 수 있게 하는 메커니즘입니다.
회사의 설명에 따르면, 공격자는 주요 안전 장치를 무력화하는 두 가지 작업을 수행했습니다.
첫 번째 작업인 액션 5는 지급 능력 검사를 통과해야 하는 대출 과정을 시작했습니다. 두 번째 작업인 액션 0은 빈 업데이트 함수로 작동하여 검사 플래그를 덮어쓰고 최종 검증 단계를 건너뛰었습니다.
공격자는 이 패턴을 여섯 개의 다른 주소에서 반복하여 179만 개 이상의 MIM 토큰을 탈취했습니다.
보도 시점까지 아브라카다브라는 이번 사건에 대해 공개적으로 언급하지 않았습니다. 특히, 프로젝트의 공식 X 계정은 9월 초 이후로 침묵을 유지하고 있습니다.
그러나 고 시큐리티는 아브라카다브라 팀이 디스코드에서 DAO 예비 자금을 사용하여 영향을 받은 MIM 공급을 재구매할 것이라고 확인했다고 보고했습니다.
한편, 확인된다면 이번 사건은 아브라카다브라에 대한 세 번째 공격이 될 것입니다.
2024년 1월, 플랫폼은 해킹으로 649만 달러를 잃었고, MIM 스테이블코인이 달러와의 페그를 잠시 잃었습니다. 2025년 3월 두 번째 공격으로 가마 계약에서 1,300만 달러가 추가로 탈취되었고, 팀은 해커에게 20%의 보상을 제안했습니다.
이러한 침해의 반복은 디파이 프로토콜의 보안과 크로스체인 대출 구조의 지속 가능성에 대한 새로운 의문을 제기합니다.
