根据安全公司Peckshield的报告，DeFi协议Abracadabra/Spell的“锅炉”在一次针对性的黑客攻击中被抽走了价值数百万美元的代币。该协议智能合约中的一个漏洞使攻击者能够从流动性池中抽走约6262个ETH，价值约1300万美元。

Abracadabra/Spell的锅炉是使用去中心化交易所GMX流动性池进行链上借贷的智能合约。此次攻击似乎涉及操纵Abracadabra在GMX V2的GM池中的锅炉集成的清算过程。

“在进行清算时，攻击者实际上是在FLASHLOAN状态下清算了自己（P4）——在这种情况下，借款人（被清算者）实际上没有任何抵押品，”加密研究员李维林（William Li）在X上对这一情况的初步分析中表示。闪电贷是一种DeFi原生交易策略，用户在同一块中提取无抵押贷款并偿还。

李补充说，攻击者使用了七个步骤来借贷和清算Abracadabra的算法稳定币Magic Internet Money。“攻击者的利润来自于清算激励（因为在函数执行结束时，攻击者的eoa需要是有偿付能力的），”他说。

GMX V2使用两步交易过程，订单由“保管人”创建和履行，以防止抢跑。订单创建和履行之间的这个窗口可能为攻击者干预提供了表面，尽管一位GMX开发者指出，GMX的核心合约未受影响。

“为了澄清，GMX合约未受影响，”@Jonas_ALA在X上表示。“这与基于GMX V2的GM池的Spell锅炉有关。贡献者们目前正在调查原因，我想对任何受到负面影响的人表示诚挚的歉意。这非常不幸。”

被盗资金已从Arbitrum转移到以太坊。

2024年1月，Abracadabra的MIM稳定币被操纵，导致近650万美元的损失。

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于加密领域的其他公司。加密交易所Bitget是Foresight Ventures的主要LP。The Block继续独立运营，提供关于加密行业的客观、重要和及时的信息。以下是我们当前的财务披露。

© 2025 The Block。版权所有。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。