Bug d'arrondi des Cauldrons Abracadabra

Le 30 janvier 2024, Abracadabra Money a subi le premier de trois exploits majeurs entre 2024 et 2025. L'attaquant a drainé 2 740 ETH et 2,2 millions de MIM — environ 6,5 millions de dollars — en exploitant des erreurs d'arrondi dans la logique de comptabilité de dette des Cauldrons V3 et V4. Le stablecoin MIM a dépeggé à 0,76 $ avant de se rétablir.

Ce qui s'est passé

Les « Cauldrons » d'Abracadabra sont des marchés de prêt isolés où les utilisateurs déposent du collatéral et empruntent du MIM (Magic Internet Money), le stablecoin indexé sur le dollar d'Abracadabra. Chaque Cauldron suit les dettes des utilisateurs dans une structure comptable partagée avec accumulation périodique d'intérêts.

La faille fatale : la logique mathématique de comptabilité de dette des Cauldrons contenait des erreurs d'arrondi par division entière exploitables lorsqu'un utilisateur remboursait la dette de quelqu'un d'autre. La logique du protocole pour ajuster totalBorrow.elastic (la vision protocolaire de la dette en cours) arrondissait de façon à sous-décrémenter le total enregistré lorsque des paiements partiels étaient appliqués à plusieurs positions.

L'attaque :

1. Emprunt flash de capital pour financer l'opération.
2. Remboursement de petits montants des dettes d'autres utilisateurs via la fonction de remboursement du Cauldron — chaque remboursement déclenchait le comportement d'arrondi bogué.
3. Chaque itération réduisait totalBorrow.elastic enregistré par le protocole légèrement plus qu'elle ne le devrait, vu les paiements réels.
4. À mesure que le total enregistré baissait, la capacité d'emprunt de l'attaquant contre son propre collatéral gonflait — parce que le protocole croyait que le système avait moins de dette en cours qu'en réalité.
5. Emprunt répété de MIM contre la capacité gonflée, extrayant finalement 2,2 M MIM et l'équivalent de 2 740 ETH en collatéral.

Le MIM fraîchement émis et non garanti a atteint la liquidité des DEX, dépeggant MIM de 1,00 $ à 0,76 $ alors que le marché intégrait l'offre non couverte.

Conséquences

• Abracadabra a suspendu les Cauldrons affectés et déployé des versions corrigées avec une direction d'arrondi correcte.
• Le peg de MIM s'est rétabli dans les semaines suivantes alors que l'équipe coordonnait le soutien du trésor et brûlait l'offre non garantie.
• Les fonds volés ont été blanchis via Tornado Cash.
• Ce fut le premier de trois exploits majeurs d'Abracadabra sur 2024-2025 : un second incident plus important a frappé en mars 2025 (13 M$ via la logique du Cauldron GMX), et un troisième, plus modeste en octobre 2025 (1,7 M$).

Pourquoi c'est important

L'incident d'Abracadabra de janvier 2024 fait partie de la classe de vulnérabilités « direction d'arrondi » qui a produit des pertes DeFi récurrentes :

• Alpha Homora (févr. 2021) — arrondi des parts d'emprunt à zéro contre la dette réelle.
• Hundred Finance (avr. 2023) — interaction précision/donation dans un fork Compound v2.
• zkLend (févr. 2025) — arrondi safeMath sur Starknet ayant gonflé raw_balance à 1724.
• Cauldrons d'Abracadabra (janv. 2024) — sous-décrémentation comptable de dette.

Dans chaque cas, la direction d'arrondi choisie par le contrat était soit franchement mauvaise, soit interagissait avec des séquences d'appels construites de manière adversariale pour produire le mauvais résultat économique. La réponse défensive — toujours arrondir en faveur du protocole, pas de l'utilisateur, sur toute division entière affectant la solvabilité — est bien documentée et n'est pas encore universellement appliquée.

Les trois exploits d'Abracadabra en deux ans illustrent aussi la dynamique « le protocole survit au premier exploit mais reste structurellement fragile » : un projet qui a été piraté une fois attire davantage l'attention d'attaquants sophistiqués, et à moins que le durcissement post-incident ne traite les causes systémiques plutôt que le seul bug spécifique, les deuxième et troisième incidents deviennent statistiquement probables.