Kluczowe informacje
- Dziedziczone skarbce Ribbon DOV należące do Aevo straciły 2,7 miliona dolarów 12 grudnia po tym, jak aktualizacja orakla wprowadziła lukę w smart kontrakcie.
- Wszystkie skarbce Ribbon zostały trwale wyłączone, a sześciomiesięczne okno zgłoszeń roszczeń trwa do 12 czerwca 2026 roku.
- DAO zlikwiduje pozostałe aktywa i zrekompensuje użytkownikom do 19% brakującej kwoty.
Aevo, platforma instrumentów pochodnych zbudowana przez dawny zespół Ribbon Finance, potwierdziła stratę 2,7 miliona dolarów ze swoich dziedziczonych skarbców Ribbon DOV po aktualizacji smart kontraktu związanej z oraklem 12 grudnia.
Z przykrością potwierdzamy, że dziedziczone skarbce Ribbon DOV zostały wykorzystane wczoraj w wyniku luki w aktualizacji smart kontraktu, co skutkowało stratą około 2,7 miliona USD.
Natychmiast podjęliśmy działania w celu zidentyfikowania przyczyny i koordynujemy się z CEX-ami oraz…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 grudnia 2025
Wkrótce potem zespół projektowy przekazał, że Aevo trwale wyłączy wszystkie skarbce Ribbon i przeprowadzi ograniczony proces odzyskiwania środków dla poszkodowanych użytkowników. Wyjaśniono, że stary skarbiec Ribbon DOV został zhakowany 12 grudnia z powodu luk w smart kontrakcie w najnowszej aktualizacji, co doprowadziło do straty 2,7 miliona dolarów.
W konsekwencji wszystkie skarbce Ribbon zostały wstrzymane i wkrótce zostaną trwale wyłączone, z sześciomiesięcznym oknem zgłoszeń roszczeń do 12 czerwca 2026 roku. W poście dodano, że DAO zlikwiduje pozostałe aktywa, aby zrekompensować użytkownikom „do 19% brakującej kwoty lub pozostałego salda”, w zależności od tego, która wartość jest niższa.
Mamy aktualizację dotyczącą exploita dziedziczonych Ribbon DOV, w szczególności kolejnych kroków, które proponujemy dla deponentów poszkodowanych skarbców.
Jeśli masz aktywną pozycję w skarbcu Ribbon, prosimy o uważne przeczytanie, ponieważ wymagane będą działania z Twojej strony.
Wszystkie skarbce Ribbon zostały zatrzymane i…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 grudnia 2025
Jak doszło do ataku na skarbiec Ribbon
Badacze blockchain odtworzyli ścieżkę ataku, wykorzystując kontrakt exploita pod adresem 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE oraz co najmniej 15 adresów odbiorców, które jako pierwsze zostały oznaczone przez analityka on-chain Specter na X. Specter napisał, że „stary kontrakt @ribbonfinance został opróżniony na łączną kwotę 2,7 miliona dolarów”, wymieniając adresy, które otrzymały skradzione [NC] i stablecoiny.
Stary kontrakt @ribbonfinance został opróżniony na łączną kwotę 2,7 miliona dolarów.
Kontrakt exploita: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Adresy kradzieży:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 grudnia 2025
Raporty bezpieczeństwa z różnych źródeł zgadzają się, że atakujący wykorzystał admina proxy orakla do przesyłania dowolnych cen wygaśnięcia dla wstETH, AAVE, [NC] i innych aktywów bazowych, a następnie rozliczał pozycje oToken względem MarginPool Ribbon, aby wyciągnąć aktywa ze skarbców.
Analizy po incydencie wskazują na błąd niezgodności miejsc po przecinku, wprowadzony sześć dni wcześniej, kiedy Ribbon zaktualizował wycenę orakla do 18-miejscowych feedów dla stETH, PAXG, LINK i AAVE, pozostawiając USDC na ośmiu miejscach. Badacz bezpieczeństwa Web3 Weilin podkreślił, że konfiguracja ta umożliwiła fałszowanie cen wygaśnięcia w tym samym znaczniku czasu dla różnych aktywów, które pipeline rozliczeniowy traktował jako ważne dla znaczących krótkich pozycji oToken. Środki są obecnie rozproszone na oryginalnych 15 adresach i kilku portfelach konsolidacyjnych, bez publicznych negocjacji dotyczących odzyskania od atakującego.
Ostatni atak na @ribbonfinance wydaje się być wynikiem błędu konfiguracji orakla.
6 dni temu właściciele zaktualizowali wycenę orakla, która używa 18 miejsc po przecinku dla stETH, PAXG, LINK i AAVE. Jednak inne aktywa, takie jak USDC, nadal mają 8 miejsc po przecinku.
tworzenie OToken nie jest… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 grudnia 2025
Cena Aevo reaguje spadkiem
Rynek już zareagował spadkiem na Aevo. AEVO jest obecnie notowane po około 0,041 USD za token, ze spadkiem o 7% w ciągu 7 dni i kapitalizacją rynkową 37,7 miliona dolarów przy podaży w obiegu wynoszącej 915,8 miliona. Ta cena jest o 98,9% niższa od historycznego maksimum z 28 marca 2024 roku, które wynosiło 3,86 USD.
Cena Aevo w ciągu 7 dni | Źródło: CoinMarketCap
Wartość implikowanego protokołu oscyluje obecnie blisko on-chain TVL na poziomie około 28,2 miliona dolarów, co zmniejsza margines błędu, gdy DAO uspołecznia stratę skarbca na poziomie 32%, a jednocześnie obiecuje tylko do 19% zwrotu.
Sprzeciw społeczności wobec planu odzyskiwania Ribbon
Reakcja społeczności na warunki odzyskiwania w wysokości 19% stała się wroga w kanałach społecznościowych i wtórnych raportach.
to jest naprawdę chore, nie możecie po prostu zabierać pieniędzy z nieaktywnych kont. co jest nie tak z tą branżą
— 0xCommodity (@0xCommodity) 14 grudnia 2025
Komentujący twierdzą, że pierwsi deponenci Ribbon, którzy pozostawili aktywa w przestarzałych skarbcach DOV na podstawie wcześniejszych zapewnień, teraz ponoszą stratę ponad 80%. Jednocześnie Aevo nadal prowadzi swoją główną giełdę instrumentów pochodnych i warstwę L2 bez zakłóceń.
„…konta z największymi depozytami pozostają nieaktywne przez ostatnie 2–4 lata i jest bardzo prawdopodobne, że wiele z nich w ogóle nie wypłaci środków.”
Ludzie nadal wypłacają z Saffron V1 z 2020 roku. Nie możecie po prostu kraść pieniędzy, bo zostały zdeponowane na dłużej. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 grudnia 2025
Użytkownicy zgłaszają również, że niektóre wątki zostały usunięte, a komentowanie postów Aevo jest teraz ograniczone do zweryfikowanych kont i tych wcześniej wspomnianych przez Aevo. Firma kieruje użytkowników do formalnego procesu zgłaszania roszczeń zamiast otwartej debaty.
Z instytucjonalnego punktu widzenia sam exploit wygląda jak podręcznikowy błąd konfiguracji orakla. Niemniej jednak reakcja przypomina wcześniejsze kryzysy wokół Mango, Euler i innych, gdzie techniczne rozwiązanie pojawiło się szybciej niż społeczne.
Desk, który przekierowuje wolumen przez Aevo, musi teraz wyceniać nie tylko ryzyko smart kontraktu, ale także ryzyko zarządzania i warstwy społecznej w każdym produkcie skarbcowym z marką Ribbon, ponieważ DAO ustanowiło precedens, że straty w starszych liniach skarbców mogą być rozliczane po ułamku wartości nominalnej, nawet gdy główna platforma handlowa i token pozostają aktywne.
