アブラカダブラがDeFiで最も不運なプロトコルになるまで

かつてその革新性で称賛されたDeFiレンディング・プラットフォームのAbracadabraが、多くの人が "不運な呪い "と呼ぶものに直面している。今年3度目となるこのプロトコルは、またしても巧妙なエクスプロイトの犠牲となった-今回は約180万ドル相当のマジック・インターネット・マネー（MIM）が流出した。

Abracadabraの "cook "機能の論理的欠陥を狙ったこの悪用は、プロトコルのアーキテクチャ（あるいはその複雑さ）が最大の敵になったかどうかについての議論を再燃させた。被害総額は2,100万ドルを超え、かつてDeFi分野で魔法のようだったAbracadabraの名声は薄れつつある。

今回のハッキングは、アブラカダブラにとって12ヶ月足らずの間に3回目の大規模なハッキングであり、DeFiで最も頻繁に悪用されるプラットフォームの1つとしての評判を確固たるものにしている。この年は1月に640万ドルのハッキングで始まり、攻撃者はトルネード・キャッシュを通じて追跡された資金を攻撃に使用した後、MIM安定コインを不安定化させた。

その2ヵ月後の2025年3月、ハッカーたちはアーキテクチャの奥深くに隠されたマルチステップロジックの欠陥を悪用して、プロトコルのGMXトークンプールに侵入し、1300万ドル相当のさらに大規模なエクスプロイトに見舞われた。

2025年9月、このプラットフォームは再び脆弱性の餌食となり、今度は約180万ミミ(MIM)を失い、累積損失は2100万ドルを超えた。

この3つの攻撃はいずれも複雑なスマート・コントラクトのやりとりを伴うものだったが、それぞれが異なる弱点を狙っていた。

開発者たちは一連のハッキングを「不運の連鎖」と表現しているが、ブロックチェーン・アナリストたちは、一貫した失敗はより深いシステム的脆弱性を示唆していると考えている。

問題は単純な見落としではなく、脆弱なアーキテクチャと相互依存的なスマート・コントラクト・ロジックにあり、AbracadabraのようなDeFiプロトコルは連鎖的に悪用される可能性がある、と彼らは主張する。

最新エクスプロイトの展開

オンチェーンデータによると、最新の攻撃者は、プロトコルの「クック」機能の抜け穴を利用して、6つのウォレットアドレスにわたって同じ悪用シーケンスを実行した。

この機能を操作することで、ハッカーは、通常は担保限度額を超える借り入れを防止する支払能力チェックを回避することに成功した。この攻撃は、借入後にソルベンシー・チェックを発動するように設計されたステータス・フラグを利用した。しかし、追加の「ヘルパー」アクションが挿入されると、フラグは意図せずリセットされ、システムは最終的な検証を完全にスキップすることになった。

この脆弱性を利用し、攻撃者は1,793,755 MIMを借り、トークンを他のアセットと素早く交換した後、オフチェーンに移動させた。セキュリティ会社のBlockSecは、この欠陥が従来のリエントランシーやフラッシュローンのバグではなく、ロジック層の脆弱性であることを確認した。この微妙な設計上の見落としは、成熟したDeFiプロトコルでさえ、コンポーザビリティの圧力で崩れる可能性があることを示している。

アブラカダブラ・チームは迅速に対応し、顧客資金は影響を受けておらず、エクスプロイトにはパッチが適用されていることをユーザーに保証した。彼らは1900万ドルの国庫を活用してMIMを買い戻し、安定させた。

開発者の反応、コミュニティは疲弊する

チームの迅速な対応にもかかわらず、投資家の信頼は低下し続けている。ソーシャルメディア上では、コミュニティ・メンバーが不満を表明し、別のハッキングに襲われる前にアブラカダブラは「呪文書を引退」すべきだと冗談を言う人もいた。また、このプロジェクトが高度に複雑化可能なスマートコントラクトに依存していることが、攻撃者を惹きつける要因になっているのではないか、つまり「複雑すぎて安全ではない」プロトコルが、ハッカーの創造性に不注意に報いているのではないか、と疑問を呈する人もいる。

セキュリティ・アナリストたちは、こうした懸念に共鳴し、将来のインシデントを防ぐために、モジュール式の契約設計、隔離された支払能力のチェック、運用後の検証の義務化など、より厳格な開発基準を採用するようチームに提案している。

多くのオブザーバーにとって、この事件は、DeFiセクターで高まっている「イノベーションがリスク管理を上回ってはならない」という感情を浮き彫りにしている。あるアナリストに言わせれば、「アブラカダブラはコンポーザビリティの限界に挑戦してきたが、ビジョンが定着する前にコードは壊れ続けている」。

DeFiの広範な問題：複雑さがもたらすもの

Abracadabraの悲劇は、不幸な出来事の連続というだけでなく、分散型金融全体のより広範な問題を反映している。DeFiプロジェクトをシームレスに相互作用させる決定的な特徴であるコンポーザビリティは、DeFiプロジェクトを最も脆弱にするものでもある。新しい契約や機能が追加されるたびに、依存性のレイヤーが増え、そのレイヤーごとに潜在的な障害ポイントが生まれる。

Abracadabraの場合、今年の3つの攻撃はすべてシステムの異なるコンポーネントを悪用している。この事実だけでも、問題は古い脆弱性にパッチを当てることではなく、拡大するコードベースの複雑さを管理することにあることがわかる。

Chainalysisのデータによると、ハッカーは2025年1月から6月の間に21億7000万ドルの暗号を盗み、2024年全体の盗難総額にほぼ匹敵した。CertiKのレポートによると、この数字はさらに高く、24億7000万ドルで、Bybitの15億ドルの侵害のような大規模な事件によって押し上げられた。

アブラカダブラの累積損失は2100万ドルを超え、このプロジェクトはDeFiの最先端システムに潜むリスクを思い知らされることになった。

魔法が騒乱に変わるとき

ある時点で、不運は言い訳ではなくなる。

Abracadabraの不幸は、DeFiの中心的なジレンマを反映している。かつては最大の強みであったこのプラットフォームの複雑な設計は、今やアキレス腱と化している。すべての新機能、すべてのコンポーザブル・レイヤーは、攻撃者がテストするための新たなオープンドアなのだ。

この教訓は、ひとつのプロトコルにとどまらない。DeFiのエコシステム全体が、コントロールのない複雑さはカオスであることを認識しつつある。セキュリティは、すべての契約に組み込まれ、すべての段階で検証される、後付けから基本原則へと進化しなければならない。

プロトコルが実験よりもレジリエンスを優先し始めるまで、分散型金融の「マジック」は消え続けるだろう。