Redondeo en los Cauldrons de Abracadabra

El 30 de enero de 2024, Abracadabra Money sufrió el primero de tres grandes exploits entre 2024 y 2025. El atacante drenó 2.740 ETH y 2,2 millones de MIM — aproximadamente 6,5 millones de dólares — explotando errores de redondeo en la lógica de contabilidad de deuda de los Cauldrons V3 y V4. El stablecoin MIM se despegó hasta $0,76 antes de recuperarse.

Qué ocurrió

Los "Cauldrons" de Abracadabra son mercados de préstamo aislados donde los usuarios depositan colateral y piden prestado MIM (Magic Internet Money), el stablecoin de Abracadabra anclado al dólar. Cada Cauldron rastrea las deudas de los usuarios en una estructura contable compartida con devengo periódico de intereses.

El fallo fatal: las matemáticas de contabilidad de deuda del Cauldron contenían errores de redondeo por división entera que podían explotarse cuando un usuario amortizaba la deuda de otro. La lógica del protocolo para ajustar totalBorrow.elastic (la visión del protocolo sobre la deuda pendiente) redondeaba de forma que decrementaba menos de lo debido el total registrado cuando se aplicaban pagos parciales sobre múltiples posiciones.

El ataque:

1. Préstamo flash de capital para financiar la operación.
2. Pagar pequeñas cantidades de deudas de otros usuarios a través de la función de reembolso del Cauldron — cada reembolso activaba el comportamiento de redondeo defectuoso.
3. Cada iteración reducía el totalBorrow.elastic registrado por el protocolo algo más de lo que debería, dados los pagos reales.
4. A medida que caía el total registrado, la capacidad de préstamo del atacante contra su propio colateral se inflaba — porque el protocolo creía que el sistema tenía menos deuda pendiente de la que realmente tenía.
5. Pidió MIM prestado repetidamente contra la capacidad inflada, extrayendo finalmente 2,2M de MIM y 2.740 ETH en colateral.

El MIM recién acuñado sin respaldo llegó a la liquidez de los DEX, despegando MIM de $1,00 a $0,76 mientras el mercado descontaba el suministro sin respaldo.

Consecuencias

• Abracadabra pausó los Cauldrons afectados y lanzó versiones parcheadas con la dirección de redondeo corregida.
• El peg de MIM se recuperó en las siguientes semanas mientras el equipo coordinaba apoyo desde tesorería y quemaba el suministro sin respaldo.
• Los fondos robados fueron blanqueados a través de Tornado Cash.
• Este fue el primero de tres grandes exploits de Abracadabra entre 2024 y 2025: un segundo incidente, mayor ocurrió en marzo de 2025 ($13M vía la lógica de los Cauldrons de GMX), y un tercero, menor en octubre de 2025 ($1,7M).

Por qué importa

El incidente de enero de 2024 de Abracadabra forma parte de la clase de vulnerabilidades de dirección de redondeo que ha producido pérdidas recurrentes en DeFi:

• Alpha Homora (febrero de 2021) — redondeo de borrow-share a cero frente a la deuda real.
• Hundred Finance (abril de 2023) — interacción de precisión/donación en un fork de Compound v2.
• zkLend (febrero de 2025) — el redondeo safeMath de Starknet infló raw_balance a 1724.
• Cauldrons de Abracadabra (enero de 2024) — sub-decremento en la contabilidad de deuda.

En todos los casos, la dirección de redondeo elegida por el contrato era directamente errónea o interactuaba con secuencias de llamadas construidas adversarialmente para producir el resultado económico equivocado. La respuesta defensiva — redondear siempre a favor del protocolo, no del usuario, en toda operación de división entera que afecte a la solvencia — está bien documentada y aún no se aplica universalmente.

Los tres exploits de Abracadabra en dos años también ilustran la dinámica "el protocolo sobrevive al primer exploit pero es estructuralmente frágil": un proyecto que ha sido hackeado una vez atrae más atención de atacantes sofisticados, y a menos que el endurecimiento posterior aborde las causas sistémicas y no solo el bug específico, los segundos y terceros incidentes se vuelven estadísticamente probables.