Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 226Smart-Contract-Bug

Abracadabra GMX Cauldron Selbst-Liquidation

Angreifer entzog Abracadabras GM Cauldrons 13 Mio. USD (6.260 ETH) durch fehlschlagende GMX-Einlage, Selbst-Liquidation und erneutes Leihen der Sicherheit.

Datum
Opfer
Abracadabra Money
Chain(s)
Arbitrum
Status
Mittel entwendet

Am 25. März 2025 erlitt Abracadabra Money seinen zweiten großen Exploit innerhalb von 14 Monaten. Der Angreifer entwendete 6.260 ETH (~13 Millionen US-Dollar) aus Cauldrons, die an GMX' GM-Liquiditätstokens gebunden waren. Der Exploit verkettete eine fehlschlagende-aber-nicht-revertierende GMX-Einlage, eine bewusste Selbst-Liquidation und ein anschließendes Leihen gegen die verwaiste Sicherheit — der mehrstufige Angriff war in etwa 1 Stunde 40 Minuten abgeschlossen.

Was geschah

Die betroffenen Cauldrons akzeptierten GM-Tokens (GMX' Liquiditätsanbieter-Tokens für verschiedene GMX-Märkte) als Sicherheit. Die Einlagelogik des Cauldrons lief über einen OrderAgent-Vertrag, der die mehrstufige Interaktion mit GMX' Einlage-Maschinerie koordinierte.

Der Angreifer entdeckte eine Operationssequenz, die die Lücke zwischen GMX' Einlage-Fehlerbehandlung und Abracadabras Buchhaltung ausnutzte:

  1. Initiierte eine GMX-Einlage über Abracadabras OrderAgent mit Parametern, die die GMX-seitige Einlage bei der Ausführung scheitern, aber auf Abracadabra-Ebene nicht revertieren ließen — die eingezahlten Mittel blieben im OrderAgent-Vertrag gestrandet, ohne jemandem gutgeschrieben zu werden.
  2. Lieh gegen die hinterlegte Position — der Abracadabra-Cauldron erfasste die Schuld als Verpflichtung des Angreifers.
  3. Trieb die Position in die Liquidation, indem er Preisbewegungen auslöste oder Zinsen anwachsen ließ, bis die Liquidationsschwelle überschritten wurde.
  4. Selbst-liquidierte — die Schuld aus der Buchhaltung des Protokolls löschend, während die Sicherheit im OrderAgent verblieb.
  5. Nahm einen neuen Kredit unter Verwendung der verwaisten Sicherheit auf, die noch im OrderAgent lag — Sicherheit, von der das Protokoll keine Aufzeichnung als Absicherung einer Verpflichtung hatte, gegen die der neue Kredit aber nun aufgenommen wurde.
  6. Extrahierte die Erlöse des neuen Kredits, ohne jemals die ursprüngliche Schuld zurückzahlen oder die Sicherheit freigeben zu müssen.

Nettodiebstahl: ~13 Mio. USD in ETH-äquivalenten Vermögenswerten.

Folgen

  • Abracadabra stoppte das Leihen über alle GM-Cauldrons bis 09:46 UTC — etwa 100 Minuten nach der ersten bösartigen Transaktion.
  • Das Team bot dem Angreifer eine 20%-Bug-Bounty und einen Weg zur White-Hat-Lösung an; der Angreifer reagierte nicht.
  • GMX verteidigte öffentlich seine eigenen Verträge — und betonte, dass der Exploit in Abracadabras Integrationslogik lag, nicht in GMX' GM-Token-Mechanik oder Liquidity-Pool-Funktionen.
  • Mittel wurden über Tornado Cash gewaschen.

Warum es wichtig ist

Der Abracadabra-Vorfall vom März 2025 ist ein eindrucksvoller Fall dafür, wie Integrationslogik mit externen Protokollen die Fehlermodi beider Seiten der Integration erbt. Der Exploit lag nicht in:

  • GMX' Verträgen (die wie beabsichtigt funktionierten — das Einzahlen von Vermögenswerten in eine Position, die noch nicht eröffnet war oder vom GM-Oracle ungünstig bewertet wurde, ist ein legitimer Zustand für das GMX-System).
  • Abracadabras Kern-Cauldron-Logik (die Schulden korrekt erfasste und Liquidationen verarbeitete).

Er lag im OrderAgent, der beide verband — speziell darin, wie der OrderAgent den Fall handhabte, in dem GMX' Einlage-Operation teilweise abgeschlossen wurde, ohne die erwartete Position zu erzeugen. Der Agent ließ die Sicherheit gestrandet, die Cauldron-Buchhaltung lief ohne sie weiter, und die Lücke war der gesamte Exploit.

Die strukturellen Lektionen für DeFi-Integrationen:

  1. Fehlermodi externer Protokolle müssen aufgezählt und explizit behandelt werden — „was passiert, wenn der Aufruf teilweise gelingt" ist eine andere Frage als „was passiert, wenn er revertiert" oder „was passiert, wenn er gelingt".
  2. Zustandssynchronisation zwischen Buchhaltungssystemen (Cauldron-Schuldaufzeichnungen, OrderAgent-Verwahrung, GMX-Positionsstatus) muss nach jeder Operation invariant-geprüft werden, nicht angenommen.
  3. Die Reaktionszeit von 1h40m war respektabel, aber nicht schnell genug — der Angreifer hatte den mehrstufigen Drain über mehrere Cauldrons ausgeführt, bevor defensive Maßnahmen die betroffenen Märkte pausieren konnten.

Zusammen mit dem Abracadabra-Vorfall vom Januar 2024 und dem dritten Exploit vom Oktober 2025 untermauert die Bilanz des Protokolls mit drei großen Exploits in etwa zwei Jahren weiterhin die allgemeine DeFi-Sicherheitsbeobachtung, dass eine auf den spezifischen Bug fokussierte Nachbehebung statt auf systemische Ursachen tendenziell wiederholte Exploits hervorbringt.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2025/03/25/abracadabra-drained-of-usd13m-in-exploit-targeting-cauldrons-tied-to-gmx-liquidity-tokens
  2. [02]threesigma.xyzhttps://threesigma.xyz/blog/exploit/abracadabra-gmx-defi-exploit-explained
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-abracadabra-money-hack-march-2025

Verwandte Einträge