Abracadabra.money 是一个去中心化的借贷平台，允许用户存入生息代币 (ibTKNs) 作为抵押品，以借入与美元挂钩的超额抵押稳定币 Magic Internet Money (MIM)。该协议的主要功能是使用户能够从其产生收益的加密资产中获得流动性，而无需出售它们。MIM 可以像任何其他传统稳定币一样使用^[1]​^[2]。

概述

Abracadabra.money 是一个多链协议，已部署在包括 Ethereum、Arbitrum 和 Fantom 在内的区块链上^[3][4]。截至 2025 年 10 月初，该协议的总锁定价值 (TVL) 约为 1.54 亿美元^[4]。

该平台一直是多个备受瞩目的安全漏洞的目标，自 2024 年以来累计损失超过 2000 万美元。尽管面临这些挑战，该协议的去中心化自治组织 (DAO) 已采取措施减轻损失，包括使用国库资金回购被盗资产并稳定 MIM 稳定币^[4]。

技术和架构

Kashi 借贷技术和隔离市场

Abracadabra.money 利用 Kashi 借贷技术（SushiSwap 首创的框架）来创建其借贷市场。这项技术的核心特征是使用隔离市场，称为“Cauldrons”。在隔离市场中，任何单一抵押资产的风险都包含在其自身的市场中。这意味着，如果特定抵押类型变得不稳定或受到损害，它不会对整个协议或其他借贷池构成系统性风险^[1]。

核心组件

该协议的架构建立在几个关键组件之上：

• Cauldrons： 这些是隔离的借贷金库，用户可以在其中存入特定类型的抵押品以借入或铸造 MIM。每个 Cauldron 都有其自身的风险参数。存在多个版本的 Cauldron 智能合约，包括 V3 和 V4，它们一直是安全漏洞的目标^[5][6]。
• BentoBox（和 Degenbox）： BentoBox 是一个代币金库，是 Abracadabra 的 Cauldrons 的基础。它充当用户抵押品的集中存储库。Abracadabra 使用一个称为 Degenbox 的特定实现。此金库旨在对其持有的资产产生收益，即使它们正在用作抵押品^[6]。
• cook() 函数： 这是 Cauldron 合约中的一个强大而复杂的函数，允许用户将多个操作（例如添加抵押品、借入 MIM 和偿还债务）批量处理到单个原子交易中。虽然设计用于提高效率和改善用户体验，但此函数中的逻辑缺陷是 2025 年 10 月发生重大漏洞的原因^[6]。

代币经济学

Abracadabra.money 有三个主要代币，它们是其生态系统的核心。

• SPELL： 该协议的原生实用和奖励代币，主要用于激励流动性。
• sSPELL： SPELL 的质押版本，授予持有者在该协议的治理中的投票权以及平台收入的一部分。
• MIM (Magic Internet Money)： 该协议的去中心化、与美元挂钩的稳定币，由用户根据其存入的抵押品铸造。

SPELL

SPELL 代币用于激励参与 Abracadabra 生态系统。

• 代币符号： SPELL
• 总供应量： 210,000,000,000 SPELL（最初的 420B 供应量通过一次性 代币销毁 减半）

SPELL 代币分配：

• 45% (94.5B SPELL)：MIM-3LP3CRV 流动性激励
• 30% (63.0B SPELL)：团队分配（4 年归属计划）
• 18% (37.8B SPELL)：ETH-SPELL SushiSwap 流动性激励
• 7% (14.7B SPELL)：初始 DEX 发行

sSPELL

sSPELL（质押 SPELL）是该协议的治理代币。用户可以质押其 SPELL 代币以接收 sSPELL。sSPELL 的持有者有权分享该协议产生的费用（来自利息、借款费用和清算费用），并且可以参与治理提案和投票。

MIM (Magic Internet money)

Magic Internet Money (MIM) 是一种抵押稳定币，与美元的价值挂钩。它由将生息代币存入 Abracadabra 的 Cauldrons 的用户铸造。MIM 的稳定性由这些金库中持有的加密资产支持。截至 2025 年 10 月初，流通供应量约为 4400 万个代币^[4]。

治理

Abracadabra.money 协议的治理由一个由 sSPELL 代币持有者组成的去中心化自治组织 (DAO) 管理。DAO 负责就关键协议参数、风险管理和国库资金的使用做出决策。

DAO 功能的一个例子发生在 2025 年 10 月，当时一次安全事件导致资金损失。Abracadabra DAO 通过使用其国库从公开市场购买被盗的 MIM 金额来帮助稳定代币的价格并偿还协议的坏账，从而对事件做出了回应。一位名为“0xMerlin”的 DAO 贡献者公开向社区传达了 DAO 的回应^[4]。

安全事件

自 2024 年以来，Abracadabra.money 协议面临了多次重大安全漏洞，导致总损失超过 2100 万美元。这些事件考验了该协议的弹性，并引起了社区对其安全实践的担忧^[3]。

2025 年 10 月：cook() 函数漏洞（损失约 180 万美元）

2025 年 10 月 4 日，攻击者利用已弃用的 CauldronV4 智能合约中的逻辑缺陷，窃取了约 179 万美元的 MIM。该漏洞自 2023 年 2 月以来一直未被发现，存在于 cook() 函数中。攻击者通过传递无法识别的操作 ID 绕过了所需的偿付能力检查，这重置了一个安全标志，并允许他们在没有足够抵押品的情况下借入 MIM。被盗资金被兑换成 ETH 并通过 Tornado Cash 洗钱。作为回应，Abracadabra DAO 暂停了受影响的市场，并使用国库资金回购了被盗的 MIM^[6][4]。

2025 年 3 月：GMX Cauldron 漏洞（损失约 1300 万美元）

2025 年 3 月，当攻击者从其 Arbitrum 网络上与 GMX 相关的流动性池中耗尽 1300 万美元的 MIM 时，Abracadabra 遭受了最大的经济损失。该漏洞是一种复杂的闪电贷攻击，目标是 Abracadabra 的 GmxV2 CauldronV4 的抵押品会计机制中的缺陷。该漏洞允许攻击者通过操纵失败的订单来绕过偿付能力检查。GMX 确认其自身的合约没有问题。攻击者通过将价值 6,260 ETH 的被盗资产桥接到 Ethereum 并使用 Tornado Cash 来洗钱^[7][3]。

2024 年 1 月至 6 月：多个智能合约漏洞（总计损失约 1290 万美元）

该协议在 2024 年至少遭受了两次重大黑客攻击。

• 2024 年 6 月漏洞（损失 650 万美元）： 攻击者利用 Cauldron V3 和 V4 合约中的精度损失问题。该漏洞导致协议的内部债务跟踪变量（elastic 和 base）之间出现不同步，允许攻击者积累大量债务份额并借入远超其抵押品允许的 MIM，从而导致 MIM 稳定币脱钩^[5]。
• 2024 年 1 月漏洞（损失 640 万美元）： Ethereum 上的一个漏洞，据报道仅以 1 ETH 发起，导致损失约 640 万美元。该攻击涉及舍入误差或类似的精度漏洞，允许黑客绕过破产检查，从而导致坏账的产生和 MIM 的暂时脱钩^[7][4]。