Abracadabra Cauldron Rounding

Am 30. Januar 2024 erlitt Abracadabra Money den ersten von drei großen Exploits zwischen 2024 und 2025. Der Angreifer entwendete 2.740 ETH und 2,2 Millionen MIM — etwa 6,5 Millionen US-Dollar — durch Ausnutzung von Rundungsfehlern in der Schuldverwaltung der Cauldrons V3 und V4. Der MIM-Stablecoin depeggte auf 0,76 USD, bevor er sich erholte.

Was geschah

Die „Cauldrons" von Abracadabra sind isolierte Kreditmärkte, in denen Nutzer Sicherheiten hinterlegen und MIM (Magic Internet Money), den USD-gepeggten Stablecoin von Abracadabra, leihen. Jeder Cauldron verfolgt Nutzerschulden in einer gemeinsamen Buchhaltungsstruktur mit periodischer Zinsabgrenzung.

Der fatale Fehler: Die Schuldbuchhaltungs-Mathematik des Cauldrons enthielt Integer-Divisions-Rundungsfehler, die ausgenutzt werden konnten, wenn ein Nutzer die Schulden eines anderen tilgte. Die Logik des Protokolls zur Anpassung von totalBorrow.elastic (die Sicht des Protokolls auf ausstehende Schulden) rundete so, dass der erfasste Gesamtwert unterproportional reduziert wurde, wenn Teilzahlungen auf mehrere Positionen angewendet wurden.

Der Angriff:

1. Flash-Loan-Kapital zur Finanzierung der Operation.
2. Tilgung kleiner Beträge fremder Schulden über die Rückzahlungsfunktion des Cauldrons — jede Rückzahlung löste das fehlerhafte Rundungsverhalten aus.
3. Jede Iteration reduzierte den erfassten totalBorrow.elastic des Protokolls etwas mehr, als es die tatsächlichen Zahlungen rechtfertigten.
4. Mit sinkendem erfassten Gesamtbetrag inflationierte sich die Kreditkapazität des Angreifers gegen seine eigenen Sicherheiten — weil das Protokoll glaubte, das System habe weniger ausstehende Schulden als tatsächlich vorhanden.
5. Wiederholtes Leihen von MIM gegen die aufgeblähte Kapazität, schließlich Extraktion von 2,2 Mio. MIM und 2.740 ETH an Sicherheiten.

Die frisch geschöpften ungedeckten MIM trafen DEX-Liquidität und depeggten MIM von 1,00 USD auf 0,76 USD, da der Markt das ungedeckte Angebot einpreiste.

Folgen

• Abracadabra pausierte betroffene Cauldrons und veröffentlichte gepatchte Versionen mit korrigierter Rundungsrichtung.
• Der MIM-Peg erholte sich in den folgenden Wochen, als das Team Treasury-Unterstützung koordinierte und das ungedeckte Angebot verbrannte.
• Die gestohlenen Mittel wurden über Tornado Cash gewaschen.
• Dies war der erste von drei großen Abracadabra-Exploits in den Jahren 2024-2025: Ein zweiter, größerer Vorfall traf im März 2025 ein (13 Mio. USD über GMX-Cauldron-Logik), und ein dritter, kleinerer im Oktober 2025 (1,7 Mio. USD).

Warum es wichtig ist

Der Abracadabra-Vorfall vom Januar 2024 gehört zur Rundungsrichtungs-Schwachstellenklasse, die wiederkehrende DeFi-Verluste verursacht hat:

• Alpha Homora (Feb 2021) — Borrow-Share-Rundung auf null gegen tatsächliche Schulden.
• Hundred Finance (Apr 2023) — Compound-v2-Fork-Präzisions-/Donation-Interaktion.
• zkLend (Feb 2025) — Starknet-SafeMath-Rundung inflationierte raw_balance auf 1724.
• Abracadabra Cauldrons (Jan 2024) — Schuldverwaltungs-Unterabzug.

In jedem Fall war die vom Vertrag gewählte Rundungsrichtung entweder direkt falsch oder interagierte mit gegnerisch konstruierten Aufrufsequenzen, um das falsche ökonomische Ergebnis zu produzieren. Die defensive Antwort — bei jeder Integer-Division, die die Solvenz betrifft, immer zugunsten des Protokolls, nicht des Nutzers runden — ist gut dokumentiert und noch nicht universell angewendet.

Die drei Abracadabra-Exploits in zwei Jahren veranschaulichen auch die Dynamik „Protokoll überlebt den ersten Exploit, ist aber strukturell zerbrechlich": Ein Projekt, das einmal gehackt wurde, zieht mehr Aufmerksamkeit von erfahrenen Angreifern auf sich, und sofern die Härtung nach dem Vorfall nicht systemische Ursachen statt nur den spezifischen Bug adressiert, werden zweite und dritte Vorfälle statistisch wahrscheinlich.