Abracadabra.money는 사용자가 이자 발생 토큰(ibTKN)을 담보로 예치하여 USD 페깅된 옴니 스테이블 코인인 Magic Internet Money (MIM)을 빌릴 수 있는 탈중앙화 대출 플랫폼입니다. 이 프로토콜의 주요 기능은 사용자가 수익을 창출하는 암호화폐 자산을 판매할 필요 없이 유동성을 확보할 수 있도록 하는 것입니다. MIM은 다른 기존 스테이블 코인과 마찬가지로 사용할 수 있습니다^[1]​^[2].

개요

Abracadabra.money는 Ethereum, Arbitrum 및 Fantom을 포함한 블록체인에 배포된 멀티체인 프로토콜입니다^[3][4]. 2025년 10월 초 현재 프로토콜의 총 예치 자산(TVL)은 약 1억 5,400만 달러였습니다^[4].

이 플랫폼은 여러 건의 유명한 보안 공격의 표적이 되어 2024년 이후 누적 손실이 2천만 달러를 넘었습니다. 이러한 어려움에도 불구하고 프로토콜의 탈중앙화 자율 조직(DAO)은 도난당한 자산을 재구매하고 MIM 스테이블 코인을 안정화하기 위해 재무 자금을 사용하는 등 피해를 완화하기 위한 조치를 취했습니다^[4].

기술 및 아키텍처

Kashi 대출 기술 및 격리된 시장

Abracadabra.money는 SushiSwap이 개척한 프레임워크인 Kashi 대출 기술을 활용하여 대출 시장을 만듭니다. 이 기술의 핵심 기능은 "콜드론(Cauldron)"이라고 하는 격리된 시장을 사용하는 것입니다. 격리된 시장에서는 단일 담보 자산의 위험이 자체 시장 내에 포함됩니다. 즉, 특정 담보 유형이 변동성이 커지거나 손상되더라도 전체 프로토콜 또는 다른 대출 풀에 시스템적 위험을 초래하지 않습니다^[1].

핵심 구성 요소

프로토콜의 아키텍처는 다음과 같은 여러 주요 구성 요소를 기반으로 구축되었습니다.

• 콜드론: 사용자가 특정 유형의 담보를 예치하여 MIM을 빌리거나 발행할 수 있는 격리된 대출 볼트입니다. 각 콜드론에는 자체 위험 매개변수가 있습니다. 콜드론 스마트 계약의 여러 버전(V3 및 V4 포함)이 존재하며, 이는 보안 공격의 대상이 되었습니다^[5][6].
• BentoBox (및 Degenbox): BentoBox는 Abracadabra 콜드론의 기반 역할을 하는 토큰 볼트입니다. 사용자 담보를 위한 중앙 집중식 저장소 역할을 합니다. Abracadabra는 Degenbox라는 특정 구현을 활용합니다. 이 볼트는 담보로 사용되는 동안에도 보유 자산에 대한 수익을 창출하도록 설계되었습니다^[6].
• cook() 함수: 이는 사용자가 여러 작업(예: 담보 추가, MIM 차용 및 부채 상환)을 단일 원자 트랜잭션으로 일괄 처리할 수 있도록 하는 콜드론 계약 내의 강력하고 복잡한 함수입니다. 효율성과 향상된 사용자 경험을 위해 설계되었지만 이 함수의 논리적 결함이 2025년 10월에 발생한 심각한 공격의 원인이었습니다^[6].

토큰노믹스

Abracadabra.money에는 생태계의 중심이 되는 세 가지 주요 토큰이 있습니다.

• SPELL: 프로토콜의 기본 유틸리티 및 보상 토큰으로, 주로 유동성을 장려하는 데 사용됩니다.
• sSPELL: SPELL의 스테이킹된 버전으로, 보유자에게 프로토콜 거버넌스에 대한 투표권과 플랫폼 수익의 일부를 부여합니다.
• MIM (Magic Internet Money): 프로토콜의 탈중앙화된 USD 페깅 스테이블 코인으로, 사용자가 예치된 담보에 대해 발행합니다.

SPELL

SPELL 토큰은 Abracadabra 생태계에 대한 참여를 장려하는 데 사용됩니다.

• 토큰 기호: SPELL
• 총 공급량: 210,000,000,000 SPELL (원래 공급량 4,200억 개는 일회성 토큰 소각을 통해 절반으로 줄었습니다.)

SPELL 토큰 배포:

• 45% (945억 SPELL): MIM-3LP3CRV 유동성 인센티브
• 30% (630억 SPELL): 팀 할당 (4년 베스팅 일정)
• 18% (378억 SPELL): ETH-SPELL SushiSwap 유동성 인센티브
• 7% (147억 SPELL): 초기 DEX 제공

sSPELL

sSPELL(스테이킹된 SPELL)은 프로토콜의 거버넌스 토큰입니다. 사용자는 SPELL 토큰을 스테이킹하여 sSPELL을 받을 수 있습니다. sSPELL 보유자는 프로토콜에서 생성된 수수료(이자, 차용 수수료 및 청산 수수료)의 일부를 받을 자격이 있으며 거버넌스 제안 및 투표에 참여할 수 있습니다.

MIM (Magic Internet money)

Magic Internet Money (MIM)는 미국 달러 가치에 페깅된 담보 스테이블 코인입니다. 사용자가 이자 발생 토큰을 Abracadabra의 콜드론에 예치하면 발행됩니다. MIM의 안정성은 이러한 볼트에 보관된 암호화폐 자산으로 뒷받침됩니다. 2025년 10월 초 현재 유통량은 약 4,400만 토큰입니다^[4].

거버넌스

Abracadabra.money 프로토콜의 거버넌스는 sSPELL 토큰 보유자로 구성된 탈중앙화 자율 조직(DAO)에서 관리합니다. DAO는 주요 프로토콜 매개변수, 위험 관리 및 재무 자금 사용에 대한 결정을 내릴 책임이 있습니다.

DAO 기능의 예는 2025년 10월에 보안 사고로 인해 자금 손실이 발생했을 때 발생했습니다. Abracadabra DAO는 자체 재무를 사용하여 공개 시장에서 도난당한 MIM 금액을 구매하여 토큰 가격을 안정화하고 프로토콜의 불량 부채를 상환함으로써 대응했습니다. '0xMerlin'이라는 DAO 기여자는 커뮤니티에 대한 DAO의 대응을 공개적으로 전달했습니다^[4].

보안 사고

Abracadabra.money 프로토콜은 2024년 이후 여러 건의 주요 보안 침해에 직면하여 총 손실이 2,100만 달러를 초과했습니다. 이러한 사건은 프로토콜의 복원력을 테스트하고 보안 관행에 대한 커뮤니티의 우려를 불러일으켰습니다^[3].

2025년 10월: cook() 함수 공격 (~180만 달러 손실)

2025년 10월 4일, 공격자는 더 이상 사용되지 않는 CauldronV4 스마트 계약의 논리적 결함을 악용하여 약 179만 달러 상당의 MIM을 훔쳤습니다. 2023년 2월부터 탐지되지 않은 채 존재했던 취약점은 cook() 함수에 있었습니다. 공격자는 인식할 수 없는 작업 ID를 전달하여 필수 지급 능력 검사를 우회하여 보안 플래그를 재설정하고 충분한 담보 없이 MIM을 빌릴 수 있었습니다. 도난당한 자금은 ETH로 교환되어 Tornado Cash를 통해 세탁되었습니다. 이에 대응하여 Abracadabra DAO는 영향을 받는 시장을 일시 중지하고 재무 자금을 사용하여 도난당한 MIM을 다시 구매했습니다^[6][4].

2025년 3월: GMX 콜드론 공격 (~1,300만 달러 손실)

2025년 3월, Abracadabra는 공격자가 Arbitrum 네트워크에서 GMX 연결 유동성 풀에서 1,300만 달러 상당의 MIM을 빼돌렸을 때 가장 큰 재정적 손실을 입었습니다. 이 공격은 Abracadabra의 GmxV2 CauldronV4의 담보 회계 메커니즘의 결함을 표적으로 삼은 복잡한 플래시 대출 공격이었습니다. 이 취약점을 통해 공격자는 실패한 주문을 조작하여 지급 능력 검사를 우회할 수 있었습니다. GMX는 자체 계약에 결함이 없음을 확인했습니다. 공격자는 당시 6,260 ETH 상당의 도난당한 자산을 Ethereum으로 연결하고 Tornado Cash를 사용하여 세탁했습니다^[7][3].

2024년 1월~6월: 여러 스마트 계약 공격 (총 ~1,290만 달러)

이 프로토콜은 2024년에 최소 두 건의 중요한 해킹의 표적이 되었습니다.

• 2024년 6월 공격 (650만 달러 손실): 공격자는 Cauldron V3 및 V4 계약에서 정밀도 손실 문제를 악용했습니다. 이 취약점으로 인해 프로토콜의 내부 부채 추적 변수(elastic 및 base) 간에 비동기화가 발생하여 공격자가 부채의 막대한 지분을 축적하고 담보가 허용하는 것보다 훨씬 더 많은 MIM을 빌릴 수 있게 되어 MIM 스테이블 코인이 디페깅되었습니다^[5].
• 2024년 1월 공격 (640만 달러 손실): Ethereum에 대한 공격은 단 1 ETH로 시작된 것으로 보고되었으며, 약 640만 달러의 손실을 초래했습니다. 이 공격에는 해커가 지급 능력 검사를 우회할 수 있도록 하는 반올림 오류 또는 유사한 정밀도 취약점이 포함되어 불량 부채가 생성되고 MIM이 일시적으로 디페깅되었습니다^[7][4].