Abracadabra sufre tercer exploit DeFi: análisis de la vulnerabilidad y sus implicaciones

El tercer incidente de seguridad impacta a Abracadabra

El protocolo de finanzas descentralizadas (DeFi) Abracadabra ha sido nuevamente objeto de un exploit, resultando en una pérdida estimada de 1.7 millones de dólares. Este incidente marca la tercera ocasión en que la plataforma se ve comprometida, generando preocupaciones adicionales sobre la robustez de su infraestructura de seguridad y la confianza de los usuarios en el espacio DeFi. La empresa de seguridad blockchain, Go Security, fue la primera en alertar sobre el suceso el 4 de octubre, confirmando que los atacantes lograron transferir aproximadamente 51 ETH a través de Tornado Cash. En el momento de la detección, la billetera del atacante (identificada como 0x1AaaDe) aún conservaba alrededor de 344 ETH, valorados en aproximadamente 1.55 millones de dólares.

Detalles técnicos del exploit: manipulación de la función ‘cook’

La investigación llevada a cabo por el investigador de seguridad blockchain Weilin Li y la firma de auditoría Phalcon ha desvelado la mecánica del ataque. El exploit se originó en una manipulación de las variables internas de los contratos inteligentes de Abracadabra, permitiendo a los atacantes eludir las verificaciones de solvencia. Esta vulnerabilidad posibilitó la toma de préstamos que excedían los límites establecidos por el protocolo, llevando al equipo de Abracadabra a pausar de inmediato todos los contratos afectados para mitigar pérdidas adicionales.

Phalcon, en su análisis, identificó la raíz del problema en una lógica defectuosa dentro de la función ‘cook’ de la plataforma. Esta función está diseñada para permitir a los usuarios ejecutar múltiples operaciones predefinidas en una única transacción, optimizando así la interacción con el protocolo. Sin embargo, la implementación de esta característica contenía una falla crítica.

Cómo los atacantes explotaron la vulnerabilidad

Los atacantes ejecutaron una secuencia de dos operaciones específicas que anularon los mecanismos de seguridad fundamentales de Abracadabra:

Acción 5: inicio del proceso de préstamo. Esta operación iniciaba una solicitud de préstamo que, en condiciones normales, debería haber pasado por rigurosas verificaciones de solvencia.
Acción 0: función de actualización vacía. Actuando como una operación de ‘actualización’ sin contenido, esta acción tenía la capacidad de sobrescribir el indicador de verificación (‘check flag’) y, por ende, saltarse el paso final de validación del préstamo.

Al repetir este patrón a través de un total de seis direcciones diferentes, los atacantes lograron drenar más de 1.79 millones de tokens MIM. Este método evidencia una sofisticada comprensión de la estructura del contrato inteligente y la capacidad de explotar sus fallos lógicos.

Respuesta del equipo y el historial de incidentes

Hasta la fecha de esta publicación, Abracadabra no ha emitido un comunicado público oficial a través de sus canales principales sobre el incidente. Es notable que la cuenta oficial de X (anteriormente Twitter) del proyecto no ha mostrado actividad desde principios de septiembre. No obstante, Go Security informó que el equipo de Abracadabra ha comunicado a través de Discord su intención de utilizar fondos de reserva de la DAO (Organización Autónoma Descentralizada) para recomprar los tokens MIM afectados, buscando así estabilizar el valor del stablecoin y mitigar el impacto en los usuarios.

Este reciente suceso se suma a un preocupante historial de exploits para Abracadabra:

Enero de 2024: La plataforma sufrió una pérdida de 6.49 millones de dólares en un hackeo que brevemente provocó una desvinculación (depeg) del stablecoin MIM respecto al dólar estadounidense.
Marzo de 2025: Un segundo exploit drenó otros 13 millones de dólares de sus contratos ‘cauldron’ (caldero), tras lo cual el equipo ofreció al atacante una recompensa del 20% por devolver los fondos.

La recurrencia de estos incidentes de seguridad en un lapso relativamente corto plantea serias interrogantes sobre la resiliencia del protocolo DeFi de Abracadabra y la fiabilidad de sus arquitecturas de préstamo entre cadenas. Cada exploit no solo representa una pérdida financiera directa, sino que también erosiona la confianza en la seguridad y la sostenibilidad de tales plataformas en el ecosistema descentralizado.

La comunidad DeFi, en constante evolución, exige estándares de seguridad cada vez más elevados. La continua evaluación y mejora de los contratos inteligentes, así como la implementación de auditorías de seguridad exhaustivas y monitoreo en tiempo real, son esenciales para prevenir futuros ataques y proteger los activos de los usuarios en un entorno tan dinámico y de alto riesgo.

Noticias sobre tokenización, blockchain y activos del mundo real (RWA)

El medio independiente para entender la evolución cripto, Web3 y la tokenización del mundo real

Abracadabra sufre tercer exploit DeFi: análisis de la vulnerabilidad y sus implicaciones

El tercer incidente de seguridad impacta a Abracadabra

Detalles técnicos del exploit: manipulación de la función ‘cook’

Cómo los atacantes explotaron la vulnerabilidad

Respuesta del equipo y el historial de incidentes

Tron lidera en ingresos de blockchain pese a su capitalización de mercado: un análisis de la dinámica del mercado

Análisis de Galaxy: ¿Quién capitaliza realmente el boom de las memecoins?

USD1 necesita informes de atestación más transparentes, según NYDIG

La tokenización ignora el sector de dominios: ¿un rezago de 10.000 millones de dólares?

Sergej Kunz de 1inch: Unificando DeFi para desafiar a los exchanges centralizados

MetaMask revoluciona recompensas y afronta críticas por nuevas funcionalidades

BTCFi: ¿Por qué el 77% de los titulares de Bitcoin no lo han utilizado?

BitDigital revoluciona el financiamiento de DAT de Ethereum con apalancamiento no garantizado