El proyecto de finanzas descentralizadas (DeFi) Abracadabra ha sufrido un nuevo ataque que ha sustraído alrededor de 1,7 millones de dólares de su plataforma, lo que supone el tercer incidente de seguridad importante para el protocolo en menos de dos años.
La brecha, de la que informó la empresa de seguridad de blockchain Go Security el 4 de octubre, volvió a plantear dudas sobre la seguridad del protocolo DeFi y la sostenibilidad de sus arquitecturas de préstamo entre cadenas.
🚨 Alerta de seguridad de GoPlus: La plataforma de préstamos y stablecoin Abracadabra ( $SPELL ) parece haber sido atacada de nuevo, con pérdidas de aproximadamente 1,77 millones de dólares.
- GoPlus Security 🚦 (@GoPlusSecurity) 5 de octubre de 2025
Su cuenta oficial de Twitter @@MIM_Spell no ha sido actualizada desde el 9 de septiembre.
Dirección del atacante:... pic.twitter.com/IjECKsOCWX
Detalles del exploit y del vector de ataque
Go Security confirmó que los atacantes ya habían blanqueado aproximadamente 51 ETH a través de Tornado Cash tras la brecha. En el momento del informe, la cartera del atacante, identificada como 0x1AaaDe, aún contenía aproximadamente 344 ETH, con un valor aproximado de 1,55 millones de dólares.
El investigador de seguridad Weilin Li ha verificado el exploit y ha explicado que el atacante manipuló las variables del contrato inteligente de Abracadabra para eludir una comprobación de crédito. Esta manipulación les permitió tomar prestados activos por encima del límite previsto, lo que llevó al equipo de Abracadabra a pausar todos los contratos para evitar más pérdidas.
Otra empresa de auditoría de blockchain, Phalcon, rastreó la causa raíz hasta una secuencia lógica defectuosa en la función de la plataforma. Se trata de un mecanismo que permite a los usuarios realizar varias acciones predefinidas en una sola transacción.
.@MIM_Spell fue atacada hace horas, lo que provocó una pérdida de ~1,7M$. La causa raíz proviene de la lógica de implementación defectuosa de la función cook, que permite a los usuarios ejecutar múltiples operaciones predefinidas en una sola transacción. En concreto, las acciones comparten un... pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) 4 de octubre de 2025
Según la compañía, el atacante realizó dos operaciones que burlaron las salvaguardas clave.
La primera, conocida como acción 5, inició un proceso de préstamo que debería haber pasado controles de solvencia. La segunda, denominada acción 0, actuaba como una función de actualización vacía que reescribía el indicador de control y se saltaba el último paso de validación. El atacante drenó más de 1,79 millones de tokens MIM repitiendo este patrón en seis direcciones diferentes.
La turbulenta historia de la seguridad de los protocolos
De verificarse, este último incidente seguiría a dos brechas anteriores más sustanciales. En enero de 2024, la plataforma perdió 6,49 millones de dólares en un hackeo que había depreciado brevemente la stablecoin MIM del dólar estadounidense.
Un segundo exploit en marzo de 2025 había drenado otros 13 millones de dólares de sus contratos cauldron, tras lo cual el equipo ofreció al hacker una recompensa del 20%.
Al cierre de esta edición, Abracadabra aún no había comentado públicamente el incidente y la cuenta X oficial del proyecto permanecía en silencio desde principios de septiembre.
Sin embargo, Go Security ha informado de que el equipo Abracadabra ha confirmado en Discord que utilizará los fondos de reserva de DAO para recomprar el suministro de MIM afectado.
