Abracadabra đã trở thành giao thức kém may mắn nhất của DeFi như thế nào?

Abracadabra, nền tảng cho vay DeFi từng được ca ngợi vì tính sáng tạo, đang phải đối mặt với điều mà nhiều người gọi là "lời nguyền xui xẻo". Đây là lần thứ ba trong năm nay, giao thức này lại trở thành nạn nhân của một vụ khai thác tinh vi khác — lần này là khoản tiền Magic Internet Money (MIM) trị giá khoảng 1,8 triệu đô la.

Vụ khai thác, nhắm vào một lỗ hổng logic trong chức năng "nấu" của Abracadabra, đã khơi lại cuộc tranh luận về việc liệu kiến ​​trúc của giao thức - hay có lẽ là độ phức tạp của nó - có phải là kẻ thù tồi tệ nhất của chính nó hay không. Với tổng thiệt hại hiện đã vượt quá 21 triệu đô la, danh tiếng từng rất huy hoàng của Abracadabra trong lĩnh vực DeFi đang bắt đầu phai nhạt.

Vụ tấn công mới nhất đánh dấu vụ hack lớn thứ ba của Abracadabra trong vòng chưa đầy mười hai tháng, củng cố danh tiếng của nền tảng này là một trong những nền tảng DeFi bị khai thác thường xuyên nhất. Năm nay bắt đầu với vụ hack 6,4 triệu đô la vào tháng 1, khiến stablecoin MIM của họ mất ổn định sau khi những kẻ tấn công sử dụng tiền được truy vết thông qua Tornado Cash để thực hiện vụ tấn công.

Hai tháng sau, vào tháng 3 năm 2025, Abracadabra đã phải chịu một vụ khai thác thậm chí còn lớn hơn trị giá 13 triệu đô la, khi tin tặc xâm nhập vào nhóm mã thông báo GMX của giao thức bằng cách khai thác các lỗ hổng logic nhiều bước ẩn sâu trong kiến ​​trúc của nó.

Hiện tại, vào tháng 9 năm 2025, nền tảng này lại một lần nữa trở thành nạn nhân của một lỗ hổng bảo mật khác - lần này mất khoảng 1,8 triệu MIM, đẩy tổng thiệt hại lên tới hơn 21 triệu đô la.

Mặc dù cả ba cuộc tấn công đều liên quan đến các tương tác hợp đồng thông minh phức tạp, mỗi cuộc tấn công đều nhắm vào một điểm yếu khác nhau — một mô hình đặt ra câu hỏi về thiết kế tổng thể của giao thức thay vì các sai sót riêng lẻ.

Các nhà phát triển đã mô tả chuỗi vụ tấn công này là "chuỗi xui xẻo không may", nhưng các nhà phân tích blockchain tin rằng những thất bại liên tiếp này ám chỉ đến các lỗ hổng hệ thống sâu hơn.

Họ lập luận rằng vấn đề không nằm ở sự giám sát đơn thuần mà nằm ở kiến ​​trúc yếu kém và logic hợp đồng thông minh phụ thuộc lẫn nhau khiến các giao thức DeFi như Abracadabra dễ bị khai thác.

Cách thức khai thác mới nhất diễn ra

Dữ liệu trên chuỗi cho thấy kẻ tấn công mới nhất đã thực hiện cùng một chuỗi khai thác trên sáu địa chỉ ví, tận dụng lỗ hổng trong chức năng "nấu" của giao thức — một tính năng cho phép người dùng gộp nhiều hành động vào một giao dịch duy nhất để tăng hiệu quả.

Bằng cách thao túng tính năng này, tin tặc đã vượt qua được các bước kiểm tra khả năng thanh toán, vốn thường ngăn chặn việc vay vượt quá giới hạn tài sản thế chấp. Cuộc tấn công đã lợi dụng một cờ trạng thái được thiết kế để kích hoạt xác minh khả năng thanh toán sau khi vay. Tuy nhiên, khi một hành động "trợ giúp" bổ sung được chèn vào, cờ này đã vô tình bị đặt lại, khiến hệ thống bỏ qua hoàn toàn bước xác thực cuối cùng.

Lợi dụng lỗ hổng này, kẻ tấn công đã vay mượn 1.793.755 MIM, nhanh chóng hoán đổi token lấy các tài sản khác trước khi chuyển chúng ra khỏi chuỗi. Công ty bảo mật BlockSec đã xác nhận rằng lỗ hổng này không phải là lỗi reentrancy hay flash loan truyền thống mà là một lỗ hổng ở tầng logic — một sơ suất thiết kế tinh vi cho thấy ngay cả các giao thức DeFi trưởng thành cũng có thể sụp đổ dưới áp lực về khả năng kết hợp.

Đội ngũ Abracadabra đã phản ứng nhanh chóng, đảm bảo với người dùng rằng không có khoản tiền nào của khách hàng bị ảnh hưởng và lỗ hổng đã được vá. Họ đã sử dụng 19 triệu đô la ngân quỹ của mình để mua lại và ổn định MIM, lặp lại chiến lược khôi phục đã được sử dụng sau các vụ xâm phạm trước đó trong năm nay.

Các nhà phát triển phản ứng, cộng đồng ngày càng mệt mỏi

Bất chấp phản ứng nhanh chóng của nhóm, niềm tin của nhà đầu tư vẫn tiếp tục bị xói mòn. Trên mạng xã hội, các thành viên cộng đồng bày tỏ sự thất vọng, một số người còn đùa rằng Abracadabra nên "nghỉ hưu cuốn sách phép thuật" trước khi một vụ hack khác xảy ra. Những người khác đặt câu hỏi liệu việc dự án phụ thuộc vào các hợp đồng thông minh có khả năng cấu hình cao có khiến nó trở thành thỏi nam châm thu hút kẻ tấn công hay không — một kiểu giao thức "quá phức tạp để bảo mật" vô tình thưởng cho những hacker vì sự sáng tạo.

Các nhà phân tích bảo mật đã bày tỏ những lo ngại này, đề xuất rằng nhóm nên áp dụng các tiêu chuẩn phát triển nghiêm ngặt hơn như thiết kế hợp đồng theo mô-đun, kiểm tra khả năng thanh toán riêng biệt và xác thực bắt buộc sau hoạt động để ngăn ngừa các sự cố trong tương lai.

Đối với nhiều nhà quan sát, sự cố này nhấn mạnh một quan điểm đang ngày càng rõ nét trong lĩnh vực DeFi: đổi mới không bao giờ được phép vượt qua quản lý rủi ro. Như một nhà phân tích đã nhận định, "Abracadabra đã và đang đẩy giới hạn của khả năng kết hợp — nhưng mã nguồn vẫn liên tục bị lỗi trước khi tầm nhìn có thể được hiện thực hóa."

Vấn đề lớn hơn của DeFi: Sự phức tạp giết chết

Câu chuyện Abracadabra không chỉ là một chuỗi sự kiện đáng tiếc; nó phản ánh một vấn đề rộng lớn hơn trong lĩnh vực tài chính phi tập trung. Khả năng tương thích — tính năng cốt lõi cho phép các dự án DeFi tương tác liền mạch — cũng chính là yếu tố khiến chúng dễ bị tổn thương nhất. Mỗi hợp đồng hoặc tính năng mới lại tạo thêm một lớp phụ thuộc, và mỗi lớp lại tạo ra một điểm lỗi tiềm ẩn khác.

Trong trường hợp của Abracadabra, ba cuộc tấn công năm nay đều khai thác các thành phần khác nhau của hệ thống. Chỉ riêng điều này đã cho thấy vấn đề không nằm ở việc vá các lỗ hổng cũ mà là quản lý độ phức tạp của một cơ sở mã đang mở rộng.

Theo dữ liệu từ Chainalysis, tin tặc đã đánh cắp 2,17 tỷ đô la tiền điện tử từ tháng 1 đến tháng 6 năm 2025, gần bằng tổng số tiền bị đánh cắp trong cả năm 2024. Báo cáo của CertiK đưa ra con số thậm chí còn cao hơn, ở mức 2,47 tỷ đô la, tăng lên do các sự cố quy mô lớn như vụ vi phạm 1,5 tỷ đô la của Bybit.

Với tổng mức lỗ của Abracadabra hiện đã vượt quá 21 triệu đô la, dự án này là lời nhắc nhở rõ ràng về những rủi ro tiềm ẩn trong các hệ thống DeFi tiên tiến nhất.

Khi phép thuật biến thành hỗn loạn

Đến một lúc nào đó, vận rủi không còn là cái cớ nữa.

Những bất hạnh của Abracadabra phản ánh thế tiến thoái lưỡng nan cốt lõi của DeFi: cân bằng giữa đổi mới nhanh chóng với kỹ thuật có trách nhiệm. Thiết kế phức tạp của nền tảng — từng là thế mạnh lớn nhất — giờ đây đã trở thành gót chân Achilles. Mỗi tính năng mới, mỗi lớp cấu thành, đều là một cánh cửa mở cho kẻ tấn công thử nghiệm.

Bài học này vượt xa một giao thức. Toàn bộ hệ sinh thái DeFi đang nhận ra rằng sự phức tạp mà không có kiểm soát sẽ chỉ là hỗn loạn. Bảo mật phải phát triển từ một ý tưởng phụ thành một nguyên tắc nền tảng, được tích hợp vào mọi hợp đồng và được xác minh ở mọi giai đoạn.

Cho đến khi các giao thức bắt đầu ưu tiên khả năng phục hồi hơn là thử nghiệm, thì "phép thuật" của tài chính phi tập trung sẽ tiếp tục biến mất — từng lỗ hổng một.