点击蓝字
关注我们
Abracadabra介绍
COOK()函数的致命盲区
2025年10月4日,Abracadabra.money的合约突然被“掏空”。攻击者只用一笔交易,就卷走了约180万美元的MIM稳定币。更离谱的是——系统没报警,没回滚,像什么都没发生。
那一笔交易的哈希是0x842aae...e5e6。
这次出事的核心,是Cauldron V4合约里的cook()函数。这个函数原本是 Abracadabra的“批量操作引擎”——允许用户一次性执行多个动作,比如“存入抵押、借款、还款”,都在一笔交易中搞定,既高效又省Gas。
但问题就出在它“太聪明”了。cook()会在每次风险操作(比如借贷)后,设置一个警告,提醒系统最后要做一次健康检查:你的抵押物够不够、会不会破产?如果灯是亮的,系统就会自动检查并阻止风险交易。
然而,黑客发现:只要在借款操作后,再插入一个未知操作,警告就会被重置为关闭。
MIM借到攻击者地址,并设置了破产检查标志
操作0触发回退逻辑
警报为空,没有实现
[借款, 无效操作] 这两个动作组合执行,系统就会“忘记”去检查是否破产。于是,黑客借了一堆根本还不起的MIM,却没人发现问题。
借钱 → 开灯(要检查) → 执行未知动作 → 灯被关掉 → 系统以为一切正常。
于是最终那行关键代码,根本没被执行。检查没跑,钱就已经被打走。
if (needsSolvencyCheck) { ... }
黑客的取钱手法非常简单:
他用6个不同的钱包账号,轮流执行这个[5,0]的指令序列,每个号都薅走30 万枚MIM,合计约180万美元。
拿到MIM后,攻击者立刻在DEX上把它换成USDC、USDT,再换成395枚 ETH,然后一股脑丢进Tornado Cash混币器里洗干净。
链上数据显示,这笔攻击持续不到两小时,资金轨迹清晰:
Cauldron→攻击者钱包→DEX→Tornado Cash。
最可怕的不是手法高明,而是漏洞存在了两年没人发现。Cauldron V4合约早在2023年2月就部署上线,至今运行961天。活跃池子因为流动性大反而没被打中,倒是这个被遗忘的旧合约成了“软柿子”。
这次事件再次证明,在 DeFi 世界里,黑客不需要多聪明,只要比审计团队再细一点——就能从你的“遗忘”里,掏出一百万美元。
漏洞蔓延、审计退款
更具讽刺意味的是,另一个fork Abracadabra代码的协议——Synnax Labs,也中招了同类漏洞。
该项目曾于2024年11月请PeckShield审计,报告中标记2个中危、2个低危,却未发现这一“致命缺陷”。
幸运的是,一名白帽在攻击前三天预警,Synnax紧急暂停合约,保住了资金。事后,Synnax要求全额退还审计费用,PeckShield同意退款,并在 GitHub上删除相关报告,连带清空其他审计记录。
这桩“退货事件”成为圈内笑谈——原来审计报告,也能无声撤回。它揭示了 DeFi 审计行业的尴尬现实:高产、流水线、缺乏上下文测试。
DeFi的尽头,是秩序
Abracadabra的第三次被盗,不只是一次“安全事件”,更是一场行业镜子。DeFi建立在极致效率与复杂叠加之上——一旦安全逻辑出现短路,整个叙事都会崩塌。170万美元只是代价,真正的损失,是信任。
下一次,你看到一个号称“原子操作”的新协议时,请想想这Abracadabra的故事。DeFi不该是赌场,而是进化。希望每一个开发者,都能在下一行代码前,多写一个检查。
如果你有困扰和疑问,或不小心卷入这类事件
👇👇👇
也可以添加小助手微信号
如果你担心钱包安全
可以关注我们公众号
进行免费的安全检测
监测潜在风险,防止资产被盗
我们提供以下专业服务:
钱包安全体检:检测你的钱包是否存在授权风险。
加密资产追踪:已经被盗,可提供链上分析报告,帮你追踪资产流向。
防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。