Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 226Bug de smart contract

Auto-liquidation du Cauldron GMX d'Abracadabra

Un attaquant a drainé 13 M$ (6 260 ETH) des Cauldrons GM d'Abracadabra via un dépôt GMX en échec, une auto-liquidation et un réemprunt du collatéral orphelin.

Date
Victime
Abracadabra Money
Chaîne(s)
Arbitrum
Statut
Fonds dérobés

Le 25 mars 2025, Abracadabra Money a subi son deuxième exploit majeur en 14 mois. L'attaquant a drainé 6 260 ETH (~13 millions de dollars) des Cauldrons liés aux tokens de liquidité GM de GMX. L'exploit a enchaîné un dépôt GMX en échec mais non reverté, une auto-liquidation délibérée, et un emprunt subséquent contre le collatéral orphelin — bouclant l'attaque en plusieurs étapes en environ 1 h 40.

Ce qui s'est passé

Les Cauldrons affectés acceptaient les tokens GM (les tokens de fournisseur de liquidité de GMX pour divers marchés GMX) comme collatéral. La logique de dépôt du Cauldron passait par un contrat OrderAgent coordonnant l'interaction multi-étapes avec la machinerie de dépôt de GMX.

L'attaquant a découvert une séquence d'opérations exploitant l'écart entre la gestion d'échec de dépôt de GMX et la comptabilité d'Abracadabra :

  1. Initiation d'un dépôt GMX via l'OrderAgent d'Abracadabra avec des paramètres conçus pour faire échouer le dépôt côté GMX à l'exécution sans reverter au niveau d'Abracadabra — laissant les fonds déposés bloqués dans le contrat OrderAgent, non crédités à personne.
  2. Emprunt contre la position déposée — le Cauldron d'Abracadabra a enregistré la dette comme obligation de l'attaquant.
  3. Pousser la position en liquidation en déclenchant des mouvements de prix ou en accumulant des intérêts jusqu'au franchissement du seuil de liquidation.
  4. Auto-liquidation — effaçant la dette de la comptabilité du protocole tout en gardant le collatéral dans l'OrderAgent.
  5. Nouvel emprunt utilisant le collatéral orphelin toujours dans l'OrderAgent — collatéral dont le protocole n'avait aucune trace comme garantie d'une quelconque obligation, mais sur lequel le nouveau prêt s'appuyait.
  6. Extraction des produits du nouveau prêt sans jamais avoir à rembourser la dette initiale ni à libérer le collatéral.

Vol net : ~13 M$ en actifs équivalents ETH.

Conséquences

  • Abracadabra a arrêté les emprunts sur tous les Cauldrons GM à 09:46 UTC — environ 100 minutes après la première transaction malveillante.
  • L'équipe a offert à l'attaquant une prime de bug de 20 % et une voie de résolution white-hat ; l'attaquant n'a pas répondu.
  • GMX a publiquement défendu ses propres contrats — soulignant que l'exploit était dans la logique d'intégration d'Abracadabra, pas dans la mécanique du token GM ou les fonctions de pool de liquidité de GMX.
  • Les fonds ont été blanchis via Tornado Cash.

Pourquoi c'est important

L'incident Abracadabra de mars 2025 est un cas frappant pour la façon dont la logique d'intégration avec des protocoles externes hérite des modes de défaillance des deux côtés de l'intégration. L'exploit n'était pas dans :

  • Les contrats de GMX (qui fonctionnaient comme prévu — déposer des actifs vers une position pas encore ouverte ou que l'oracle GM valorise défavorablement est un état légitime pour le système GMX).
  • La logique principale des Cauldrons d'Abracadabra (qui enregistrait correctement les dettes et traitait les liquidations).

Il était dans l'OrderAgent qui faisait le pont entre les deux — spécifiquement, dans la façon dont l'OrderAgent gérait le cas où l'opération de dépôt GMX s'achevait partiellement sans produire la position attendue. L'agent laissait le collatéral bloqué, la comptabilité du Cauldron avançait sans lui, et l'écart était l'exploit en entier.

Leçons structurelles pour les intégrations DeFi :

  1. Les modes de défaillance des protocoles externes doivent être énumérés et gérés explicitement — « que se passe-t-il si l'appel réussit partiellement » est une question distincte de « que se passe-t-il s'il revert » ou « que se passe-t-il s'il réussit ».
  2. La synchronisation d'état entre systèmes comptables (registres de dette du Cauldron, garde de l'OrderAgent, état de position GMX) doit être vérifiée par invariants après chaque opération, pas supposée.
  3. Le temps de réponse de 1 h 40 était respectable mais pas assez rapide — l'attaquant avait exécuté le drainage multi-étapes sur plusieurs Cauldrons avant qu'une action défensive ne puisse mettre en pause les marchés affectés.

Combiné à l'incident Abracadabra de janvier 2024 et au troisième exploit d'octobre 2025, le palmarès du protocole — trois exploits majeurs en environ deux ans — continue de soutenir l'observation générale en sécurité DeFi selon laquelle les remédiations post-incident axées sur le bug spécifique plutôt que sur les causes systémiques tendent à produire des exploits récurrents.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2025/03/25/abracadabra-drained-of-usd13m-in-exploit-targeting-cauldrons-tied-to-gmx-liquidity-tokens
  2. [02]threesigma.xyzhttps://threesigma.xyz/blog/exploit/abracadabra-gmx-defi-exploit-explained
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-abracadabra-money-hack-march-2025

Dépôts liés