Le projet de finance décentralisée (DeFi) Abracadabra a été victime d'un nouvel exploit qui a drainé environ 1,7 million de dollars de sa plateforme, marquant le troisième incident de sécurité majeur pour le protocole en moins de deux ans.
La brèche, signalée par la société de sécurité blockchain Go Security le 4 octobre, a soulevé de nouvelles questions sur la sécurité du protocole DeFi et sur la durabilité de ses architectures de prêt inter-chaînes.
🚨 GoPlus Security Alert : La plateforme de prêt et de stablecoin Abracadabra ( $SPELL ) semble avoir été attaquée à nouveau, avec des pertes d'environ 1,77 million de dollars.
- GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025
Son compte Twitter officiel @@MIM_Spell n'a pas été mis à jour depuis le 9 septembre.
Adresse de l'attaquant :... pic.twitter.com/IjECKsOCWX
Détails de l'exploitation et du vecteur d'attaque
Go Security a confirmé que les attaquants avaient déjà blanchi environ 51 ETH via Tornado Cash à la suite de la brèche. Au moment du rapport, le portefeuille de l'attaquant, identifié comme 0x1AaaDe, contenait encore environ 344 ETH, d'une valeur approximative de 1,55 million de dollars.
Le chercheur en sécurité Weilin Li a vérifié l'exploit et a expliqué que l'attaquant a manipulé les variables du contrat intelligent d'Abracadabra pour contourner une vérification de crédit. Cette manipulation leur a permis d'emprunter des actifs au-delà de la limite prévue, ce qui a incité l'équipe d'Abracadabra à mettre en pause tous les contrats pour éviter d'autres pertes.
Une autre société d'audit de la blockchain, Phalcon, a retracé la cause première à une séquence logique défectueuse dans la fonction de la plateforme. Il s'agit d'un mécanisme qui permet aux utilisateurs d'effectuer plusieurs actions prédéfinies en une seule transaction.
.@MIM_Spell a été attaqué il y a quelques heures, entraînant une perte d'environ 1,7 million de dollars. La cause principale de l'attaque est la logique d'implémentation défectueuse de la fonction cook, qui permet aux utilisateurs d'exécuter plusieurs opérations prédéfinies en une seule transaction. Plus précisément, les actions partagent un... pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) October 4, 2025
Selon la société, l'attaquant a effectué deux opérations qui ont contourné les principales mesures de protection.
La première, connue sous le nom d'action 5, a lancé un processus de prêt qui aurait dû passer les contrôles de solvabilité. La seconde, appelée action 0, a agi comme une fonction de mise à jour vide qui a réécrit le drapeau de contrôle et sauté l'étape de validation finale. L'attaquant a drainé plus de 1,79 million de jetons MIM en répétant ce schéma sur six adresses différentes.
L'histoire mouvementée de la sécurité des protocoles
S'il est vérifié, ce dernier incident ferait suite à deux brèches antérieures plus importantes. En janvier 2024, la plateforme a perdu 6,49 millions de dollars lors d'un piratage qui avait brièvement déprécié le stablecoin MIM du dollar américain.
Un deuxième exploit en mars 2025 avait drainé 13 millions de dollars supplémentaires de ses contrats cauldron, à la suite de quoi l'équipe a offert au hacker une récompense de 20 %.
A l'heure où nous mettons sous presse, Abracadabra n'a pas encore commenté publiquement l'incident et le compte X officiel du projet est resté silencieux depuis le début du mois de septembre.
Cependant, Go Security a rapporté que l'équipe d'Abracadabra a confirmé sur Discord qu'elle utiliserait les fonds de réserve du DAO pour racheter l'approvisionnement en MIM affecté.
