Abracadabra
Abracadabra.money 是一个去中心化借贷平台,允许用户存入生息代币(ibTKNs)作为抵押品,以借出与美元挂钩的全链稳定币 Magic Internet Money (MIM)。该协议的主要功能是使用户能够从其产生收益的加密资产中获得流动性,而无需将其出售。MIM 可以像任何其他传统稳定币一样使用[1][2]。
概览
Abracadabra.money 是一个多链协议,部署在包括 Ethereum、Arbitrum 和 Fantom 在内的区块链上[3][4]。截至 2025 年 10 月初,该协议的总锁仓价值(TVL)约为 1.54 亿美元[4]。
该平台曾多次成为高调安全漏洞攻击的目标,自 2024 年以来累计损失超过 2000 万美元。尽管面临这些挑战,该协议的去中心化自治组织(DAO)已采取措施减轻损失,包括使用国库资金回购被盗资产并稳定 MIM 稳定币[4]。
技术与架构
Kashi 借贷技术与隔离市场
Abracadabra.money 利用 Kashi 借贷技术(由 SushiSwap 开创的框架)来创建其借贷市场。该技术的核心特征是使用被称为“Cauldrons”(大锅)的隔离市场。在隔离市场中,任何单一抵押资产的风险都被限制在自己的市场内。这意味着,如果特定的抵押品类型变得波动或遭到破坏,它不会对整个协议或其他借贷池构成系统性风险[1]。
核心组件
该协议的架构建立在几个关键组件之上:
- Cauldrons(大锅): 这些是隔离的借贷金库,用户可以在其中存入特定类型的抵押品来借入或铸造 MIM。每个 Cauldron 都有自己的风险参数。Cauldron 智能合约存在多个版本,包括 V3 和 V4,这些版本曾是安全漏洞攻击的目标[5][6]。
- BentoBox(以及 Degenbox): BentoBox 是一个代币金库,作为 Abracadabra 的 Cauldrons 的基础。它充当用户抵押品的集中存储库。Abracadabra 使用了一个名为 Degenbox 的特定实现。该金库旨在为其持有的资产产生收益,即使这些资产正被用作抵押品[6]。
cook()函数: 这是 Cauldron 合约中一个强大且复杂的函数,允许用户将多个操作(如添加抵押品、借入 MIM 和偿还债务)批量处理为单个原子交易。虽然旨在提高效率和改善用户体验,但该函数中的一个逻辑缺陷是 2025 年 10 月一次重大漏洞攻击的原因[6]。
代币经济学
Abracadabra.money 拥有三种核心代币,构成了其生态系统的中心。
- SPELL: 协议的原生实用和奖励代币,主要用于激励流动性。
- sSPELL: SPELL 的质押版本,授予持有者在协议治理中的投票权以及平台收入的分成。
- MIM (Magic Internet Money): 协议的去中心化、与美元挂钩的稳定币,由用户根据其存入的抵押品铸造。
SPELL
SPELL 代币用于激励参与 Abracadabra 生态系统。
- 代币符号: SPELL
- 总供应量: 210,000,000,000 SPELL(原始供应量 420B 通过一次性代币销毁减半)
- 45% (94.5B SPELL):MIM-3LP3CRV 流动性激励
- 30% (63.0B SPELL):团队分配(4 年归属计划)
- 18% (37.8B SPELL):ETH-SPELL SushiSwap 流动性激励
- 7% (14.7B SPELL):首次去中心化交易所发行(IDO)
sSPELL
sSPELL(质押的 SPELL)是协议的治理代币。用户可以质押其 SPELL 代币以换取 sSPELL。sSPELL 持有者有权分享协议产生的费用(来自利息、借贷费和清算费),并可以参与治理提案和投票。
MIM (Magic Internet Money)
Magic Internet Money (MIM) 是一种与美元价值挂钩的抵押稳定币。它由将生息代币存入 Abracadabra 的 Cauldrons 的用户铸造。MIM 的稳定性由这些金库中持有的加密资产支撑。截至 2025 年 10 月初,流通供应量约为 4400 万枚代币[4]。
治理
Abracadabra.money 协议的治理是由 sSPELL 代币持有者组成的去中心化自治组织(DAO)管理的。DAO 负责就关键协议参数、风险管理和国库资金的使用做出决策。
DAO 功能的一个例子发生在 2025 年 10 月,当时一次安全事件导致资金损失。Abracadabra DAO 的回应是利用其国库从公开市场购买被盗数量的 MIM,以帮助稳定代币价格并偿还协议的坏账。一位名为“0xMerlin”的 DAO 贡献者向社区公开传达了 DAO 的回应[4]。
安全事件
自 2024 年以来,Abracadabra.money 协议面临多次重大安全漏洞,导致总损失超过 2100 万美元。这些事件考验了协议的韧性,并引发了社区对其安全实践的担忧[3]。
2025 年 10 月:cook() 函数漏洞(约 180 万美元损失)
2025 年 10 月 4 日,一名攻击者利用已弃用的 CauldronV4 智能合约中的逻辑缺陷,窃取了约 179 万美元的 MIM。该漏洞自 2023 年 2 月以来一直未被发现,存在于 cook() 函数中。攻击者通过传递一个无法识别的操作 ID 绕过了所需的偿付能力检查,这重置了一个安全标志,并允许他们在没有足够抵押品的情况下借入 MIM。被盗资金被兑换成 ETH 并通过 Tornado Cash 洗钱。作为回应,Abracadabra DAO 暂停了受影响的市场,并使用国库资金回购了被盗的 MIM[6][4]。
2025 年 3 月:GMX Cauldron 漏洞(约 1300 万美元损失)
2025 年 3 月,Abracadabra 遭受了最大的财务损失,一名攻击者从其在 Arbitrum 网络上与 GMX 挂钩的流动性池中抽走了 1300 万美元的 MIM。该漏洞是一次复杂的闪电贷攻击,针对 Abracadabra 的 GmxV2 CauldronV4 抵押品会计机制中的缺陷。该漏洞允许攻击者通过操纵失败的订单来绕过偿付能力检查。GMX 确认其自身的合约没有过错。攻击者将当时价值 6,260 ETH 的被盗资产通过跨链桥转移到 Ethereum 并使用 Tornado Cash 进行洗钱[7][3]。
2024 年 1 月至 6 月:多次智能合约漏洞(累计约 1290 万美元)
该协议在 2024 年至少遭遇了两次重大黑客攻击。
- 2024 年 6 月漏洞(650 万美元损失): 攻击者利用了 Cauldron V3 和 V4 合约中的精度损失问题。该漏洞导致协议内部债务追踪变量(
elastic和base)之间出现不同步,允许攻击者积累巨额债务份额,并借入远超其抵押品允许的 MIM,导致 MIM 稳定币 脱锚[5]。 - 2024 年 1 月漏洞(640 万美元): 攻击涉及舍入误差或类似的精度漏洞,允许黑客绕过资不抵债检查,导致坏账产生和 MIM 暂时脱锚[7][4]。
Magic Internet Money (MIM) 脱锚与应急响应 (2026)
2026 年 6 月,在加密抵押 稳定币 Magic Internet Money (MIM) 严重失去与美元的 挂钩 后,Abracadabra 实施了一系列紧急措施。在最初跌至约 0.49 后,促使协议介入。[8]
为了帮助恢复挂钩,Abracadabra 宣布将逐步提高所有 Cauldron 借贷市场(包括已弃用的市场)的利率。该协议表示,更高的借贷成本将鼓励用户偿还未偿债务,通过代币销毁减少 MIM 的流通供应,并帮助稳定币回归其预期的 1 美元价值。团队补充说,脱锚本身创造了“借款人以折扣价偿还债务的自然动力,加速了供应收缩并加强了回归挂钩的路径”。[9]
这些紧急措施是在早些时候尝试通过向其主要的 Curve Finance 流动性池 注入 100,000 美元流动性以稳定 MIM 之后采取的,当时该稳定币首次跌破挂钩。Abracadabra 将持续的不稳定性归因于去中心化交易所池的流动性减少以及 DeFi 激励结构的变化,这增加了 MIM 的抛售压力。
该事件凸显了超额抵押、加密资产支持的稳定币在低流动性和市场波动期间面临的风险,表明在压力市场条件下,仅靠充足的抵押可能不足以维持稳定的挂钩。[8] [9]