Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 226Fallo de smart contract

Autoliquidación en Cauldron GMX de Abracadabra

Un atacante drenó $13M (6.260 ETH) de los Cauldrons GM de Abracadabra orquestando un depósito GMX fallido, autoliquidándose y re-prestando el colateral.

Fecha
Víctima
Abracadabra Money
Cadena(s)
Arbitrum
Estado
Fondos robados

El 25 de marzo de 2025, Abracadabra Money sufrió su segundo gran exploit en 14 meses. El atacante drenó 6.260 ETH (~13 millones de dólares) de los Cauldrons vinculados a los tokens de liquidez GM de GMX. El exploit encadenó un depósito GMX que fallaba pero no revertía, una autoliquidación deliberada y un préstamo posterior contra el colateral huérfano — completando el ataque multietapa en aproximadamente 1 hora y 40 minutos.

Qué ocurrió

Los Cauldrons afectados aceptaban tokens GM (tokens de proveedor de liquidez de GMX para varios mercados de GMX) como colateral. La lógica de depósito del Cauldron se enrutaba a través de un contrato OrderAgent que coordinaba la interacción multietapa con la maquinaria de depósito de GMX.

El atacante descubrió una secuencia de operaciones que explotaba la brecha entre el manejo de fallos de depósito de GMX y la contabilidad de Abracadabra:

  1. Inició un depósito en GMX a través del OrderAgent de Abracadabra con parámetros diseñados para hacer que el depósito del lado de GMX fallara en la ejecución pero no revirtiera a nivel de Abracadabra — dejando los fondos depositados atascados en el contrato OrderAgent, sin acreditar a nadie.
  2. Pidió prestado contra la posición depositada — el Cauldron de Abracadabra registró la deuda como obligación del atacante.
  3. Empujó la posición hacia la liquidación desencadenando movimientos de precio o acumulando intereses hasta cruzar el umbral de liquidación.
  4. Se autoliquidó — borrando la deuda de la contabilidad del protocolo mientras mantenía el colateral en el OrderAgent.
  5. Tomó un nuevo préstamo usando el colateral huérfano que seguía en el OrderAgent — colateral del que el protocolo no tenía registro como respaldo de ninguna obligación, pero contra el que el nuevo préstamo ahora se giraba.
  6. Extrajo los fondos del nuevo préstamo sin necesidad de devolver la deuda original ni liberar el colateral.

Robo neto: ~$13M en activos equivalentes a ETH.

Consecuencias

  • Abracadabra detuvo los préstamos en todos los Cauldrons GM hacia las 09:46 UTC — aproximadamente 100 minutos después de la primera transacción maliciosa.
  • El equipo ofreció al atacante una recompensa por bug del 20% y una vía de resolución white-hat; el atacante no respondió.
  • GMX defendió públicamente sus propios contratos — enfatizando que el exploit estaba en la lógica de integración de Abracadabra, no en la mecánica del token GM ni en las funciones del pool de liquidez de GMX.
  • Los fondos se blanquearon a través de Tornado Cash.

Por qué importa

El incidente de Abracadabra de marzo de 2025 es un caso llamativo de cómo la lógica de integración con protocolos externos hereda los modos de fallo de ambos lados de la integración. El exploit no estaba en:

  • Los contratos de GMX (que funcionaban como se diseñaron — depositar activos en una posición que aún no se había abierto o que el oráculo GM tasaba desfavorablemente es un estado legítimo del sistema GMX).
  • La lógica principal del Cauldron de Abracadabra (que registraba correctamente las deudas y procesaba las liquidaciones).

Estaba en el OrderAgent que servía de puente entre ambos — específicamente, en cómo el OrderAgent gestionaba el caso en que la operación de depósito de GMX se completaba parcialmente sin producir la posición esperada. El agente dejaba el colateral atascado, la contabilidad del Cauldron continuaba sin él, y la brecha era el exploit completo.

Las lecciones estructurales para integraciones DeFi:

  1. Los modos de fallo de protocolos externos deben enumerarse y manejarse explícitamente — "qué ocurre si la llamada se completa parcialmente" es una pregunta distinta de "qué ocurre si revierte" o "qué ocurre si tiene éxito".
  2. La sincronización de estado entre sistemas contables (registros de deuda del Cauldron, custodia del OrderAgent, estado de posición de GMX) debe verificarse mediante invariantes después de cada operación, no asumirse.
  3. El tiempo de respuesta de 1h40m fue respetable pero no suficientemente rápido — el atacante había ejecutado el drenaje multietapa en múltiples Cauldrons antes de que la acción defensiva pudiera pausar los mercados afectados.

Combinado con el incidente de Abracadabra de enero de 2024 y el tercer exploit de octubre de 2025, el historial del protocolo con tres grandes exploits en aproximadamente dos años sigue respaldando la observación general de seguridad DeFi de que la remediación post-incidente centrada en el bug específico en lugar de en las causas sistémicas tiende a producir exploits repetidos.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2025/03/25/abracadabra-drained-of-usd13m-in-exploit-targeting-cauldrons-tied-to-gmx-liquidity-tokens
  2. [02]threesigma.xyzhttps://threesigma.xyz/blog/exploit/abracadabra-gmx-defi-exploit-explained
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-abracadabra-money-hack-march-2025

Registros relacionados