탈중앙화 금융(DeFi) 프로젝트 아브라카다브라가 플랫폼에서 약 170만 달러를 빼돌린 새로운 익스플로잇을 겪으며 2년 만에 프로토콜의 세 번째 주요 보안 사고가 발생했습니다.
블록체인 보안 회사 Go Security가 10월 4일에 보고한 이 침해로 인해
DeFi 프로토콜과 크로스체인 대출 아키텍처의 지속 가능성에 대한 새로운 의문이 제기되었습니다.
🚨 GoPlus 보안 경보: 대출 및 스테이블코인 플랫폼 Abracadabra( $SPELL )가 다시 공격을 받아 약 177만달러의 손실이 발생한 것으로 나타났습니다.
- GoPlus Security 🚦 (@GoPlusSecurity) October 5, 2025
공식 트위터 계정 @@MIM_Spell은 9월 9일 이후 업데이트되지 않았습니다.
공격자 주소:... pic.twitter.com/IjECKsOCWX
공격 세부 정보
Go Security는 공격자들이 침해 이후 이미 약 51 ETH를 Tornado Cash를 통해 세탁한 것을 확인했습니다. 보고 당시 0x1AaaDe로 확인된 공격자의 지갑에는 약 344개의 이더리움(약 155만 달러)이 남아 있었습니다.
보안 연구원 웨이린 리는 이 익스플로잇을 확인했으며 공격자가 아브라카다브라의 스마트 계약 변수를 조작하여 신용 확인을 우회했다고 설명했습니다. 이 조작을 통해 의도한 한도를 초과하여 자산을 빌릴 수 있었고, 아브라카다브라 팀은 추가 손실을 막기 위해 모든 계약을 일시 중지했습니다.
또 다른 블록체인 감사 업체인 팔콘은 근본 원인을 플랫폼 기능의 잘못된 논리 시퀀스로 추적했습니다. 이는 사용자가 단일 트랜잭션에서 미리 정의된 여러 작업을 수행할 수 있도록 하는 메커니즘입니다.
.@MIM_Spell는 몇 시간 전에 공격을 받아 170만 달러의 손실이 발생했습니다. 근본 원인은 사용자가 단일 트랜잭션에서 미리 정의된 여러 작업을 실행할 수 있도록 하는 cook 함수의 구현 로직에 결함이 있기 때문입니다. 특히, 이러한 작업은 다음과 같은 공통점을 공유합니다. pic.twitter.com/4tQzkRbwcT
- BlockSec Phalcon (@Phalcon_xyz) October 4, 2025
회사에 따르면 공격자는 주요 안전장치를 우회하는 두 가지 작업을 수행했습니다.
첫 번째는 액션 5로 알려진 것으로, 지급 능력 검사를 통과해야 하는 대출 프로세스를 시작했습니다. 두 번째는 조치 0이라고 하는 빈 업데이트 기능으로 제어 플래그를 다시 작성하고 최종 유효성 검사 단계를 건너뛰었습니다. 공격자는 6개의 다른 주소에서 이 패턴을 반복하여 179만 개 이상의 MIM 토큰을 유출했습니다.
프로토콜 보안의 격동적인 역사
이번 사건이 사실이라면, 앞서 두 건의 더 큰 침해 사건에 이어서 발생한 것입니다. 2024년 1월, 이 플랫폼은 해킹으로 인해 649만 달러의 손실을 입었고,stablecoin MIM을 미국 달러에서 잠시 사용하지 못하게 되었습니다.
2025년 3월의 두 번째 공격은 cauldron 계약에서 1300만 달러를 추가로 빼갔고, 이후 팀은 해커에게 20% 보상을 제공했습니다.
보도 시점에 아브라카다브라는 아직 이 사건에 대해 공개적으로 언급하지 않았으며 프로젝트의 공식 X 계정도 9월 초부터 침묵을 지키고 있습니다.
그러나 Go Security는 아브라카다브라 팀이 디스코드에서 DAO의 예비 자금을 사용하여 영향을 받은 MIM 공급을 다시 구매할 것이라고 확인했다고 보도했습니다.
