DeFiプロトコルのアブラカダブラ、180万ドル相当のハッキング被害

DeFiレンディングプロトコルのアブラカダブラは5日、ハッキングにより約180万ドル相当の資産が流出した。

攻撃は4日夜に発生し、スマートコントラクトの脆弱性が悪用された。ユーザーの資金に直接的な影響はなかったとしている。

.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT

— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025

度重なるハッキングと信頼性の低下

今回の事件は、アブラカダブラにとって2024年以降3度目の大規模なセキュリティ侵害となる。過去には2024年1月に640万ドル、2025年3月に1,300万ドルの盗難被害が発生しており、累計被害額は2100万ドルを超えた。

度重なる攻撃は、プロトコルのセキュリティインフラに対する市場の信頼を著しく低下させている。さらに、同プロトコルの公式Xアカウントが2025年9月上旬から更新を停止していることも、透明性の欠如として批判を招いた。

セキュリティ企業CertiKのデータによると、2025年第3四半期だけで、世界の仮想通貨投資プラットフォームから3億700万ドルが盗まれている。アブラカダブラの事件は、DeFiエコシステムが直面する根深いセキュリティ課題を改めて浮き彫りにした。

巧妙な手口とDAOの対応

セキュリティ企業BlockSec Phalconの分析によると、攻撃者はプロトコルのcook function機能を悪用した。この機能は、複数の操作を単一のトランザクションで実行できるものだ。

攻撃者は、借入プロセスと空の更新という2つのアクションを不正に組み合わせることで、支払能力のチェックを回避。プロトコルが発行するステーブルコインであるMagic Internet Money（MIM）179万枚を不正に引き出した。

盗まれたMIMはイーサリアム（ETH）に交換された後、ミキシングサービスのTornado Cashを通じて資金洗浄されたとみられる。

事件後、アブラカダブラのDAOは、影響を受けたコントラクトを一時停止。また、DAOの財務資金を使い、市場から流出したMIMを買い戻す措置を講じた。この対応により、MIM米ドルとのペッグを維持し、市場の安定性は保たれた。

しかし、過去の攻撃と類似した手口が再び通用したことは、プロトコルのリスク管理体制に根本的な弱点があることを示唆している。

セキュリティ専門家は、より厳格な監査とストレステストの必要性を強調しており、DeFi業界全体で標準化されたセキュリティ対策が急務となっている。