Le protocole de prêt décentralisé Abracadabra a de nouveau été victime d’un piratage le week-end dernier. L’attaque, survenue dans la nuit de samedi à dimanche, a entraîné la perte d’environ 1,8 million de dollars en stablecoins Magic Internet Money (MIM).
Exploitation d’une faille de sécurité dans les contrôles de solvabilité
C’est déjà le troisième incident depuis 2024, ce qui porte le total des pertes du protocole à plus de 21 millions de dollars. Une série sombre qui commence à peser sur la réputation du projet.
.@MIM_Spell was attacked hours ago, resulting in a loss of ~$1.7M. The root cause stems from the flawed implementation logic of the cook function, which allows users to execute multiple predefined operations in a single transaction. Specifically, the actions share a common… pic.twitter.com/4tQzkRbwcT
— BlockSec Phalcon (@Phalcon_xyz) October 4, 2025
Selon la société de cybersécurité BlockSec Phalcon, le hacker a tiré parti d’une vulnérabilité dans l’un des smart contracts. Cette faille lui a permis de contourner les vérifications de solvabilité et d’emprunter davantage de tokens MIM que le collatéral déposé ne l’y autorisait.
L’attaque, menée de façon chirurgicale, s’est déroulée le week-end dernier. Le pirate a d’abord financé son adresse à l’aide du service de mixage Tornado Cash, avant de détourner les fonds volés en ETH et de les renvoyer vers la même plateforme pour brouiller les pistes. Au total, environ 1,79 million de MIM ont été siphonnés du protocole.
D’après CoinMarketCap, le MIM reste malgré tout un stablecoin populaire. Son activité sur les DEX demeure soutenue, signe d’une certaine résilience malgré les incidents à répétition.
Ce nouvel incident intervient alors que les piratages crypto semblaient en recul ces derniers mois. Une analyse publiée sur ActuFinance montrait une chute de 37 % des pertes liées aux hacks au troisième trimestre. Toutefois, la menace n’a jamais vraiment disparu. le mois de septembre a marqué un rebond spectaculaire.
“Un vecteur potentiel de l’attaque a été identifié dans certains contrats obsolètes. Le problème a été corrigé et clos”, a déclaré 0xMerlin, contributeur du DAO Abracadabra, sur le serveur Discord du projet. “Les MIM affectés (bien que minimes) ont été rachetés sur le marché à l’aide des fonds du trésor du DAO. Aucun fonds utilisateur n’a été impacté.”
Trois attaques en moins de deux ans
Abracadabra n’en est pas à son premier revers. Ce piratage s’ajoute à une série d’attaques déjà subies par le passé. En janvier 2024, une faille similaire dans un smart contract lui avait déjà coûté 6,4 millions de dollars. Puis en mars 2025, un autre exploit, plus sophistiqué, reposant sur une attaque par flash loan en plusieurs étapes, avait entraîné 13 millions de dollars de pertes supplémentaires.
Avec ce dernier incident, les pertes cumulées dépassent désormais 21 millions de dollars depuis le début de 2024. Le protocole conserve toutefois une TVL (valeur totale verrouillée) de 154 millions de dollars et près de 44 millions de MIM circulent encore sur Ethereum et Arbitrum, témoignant d’une situation paradoxale au sein du projet, qui malgré les failles, continue d’attirer les capitaux.
Cette vulnérabilité intervient alors que les flux de stablecoins sur Ethereum atteignent des niveaux historiques. D’après un rapport d’ActuFinance, plus de 166 milliards de dollars de stablecoins ont transité sur le réseau en un mois, illustrant l’essor de l’écosystème DeFi.
Les attaques répétées mettent également en lumière les enjeux de transparence et de fiabilité des données dans la DeFi. Un scandale autour de DefiLlama a récemment soulevé des doutes sur les risques liés à la manipulation d’indicateurs et au manque de supervision dans l’écosystème. Les chiffres publiés ne sont pas toujours vérifiables, et certaines plateformes peinent encore à appliquer des standards de gouvernance clairs.
Selon 0xMerlin, l’équipe d’Abracadabra « révise ses processus internes afin de renforcer la sécurité et d’éviter que de tels incidents ne se reproduisent ». Mais pour l’heure, aucune déclaration publique officielle n’a encore été publiée par le protocole.
Vers un encadrement accru du secteur ?
Alors que les régulateurs multiplient les avertissements, l’Europe s’inquiète à son tour des risques liés aux stablecoins. Le régulateur européen a récemment souligné que ces actifs pouvaient représenter un risque systémique pour la stabilité financière s’ils venaient à se généraliser sans supervision. Une préoccupation d’autant plus légitime que la DeFi, elle, continue d’évoluer dans une zone grise.
Sources : BlockSec Phalcon sur X, Discord Abracadabra
Sur le même sujet :
Partager
