Ключові моменти
- Старі Ribbon DOV vaults від Aevo втратили $2.7 мільйона 12 грудня після того, як оновлення oracle призвело до вразливості смарт-контракту.
- Усі Ribbon vaults назавжди відключені, а вікно для подачі заявок на компенсацію триватиме до 12 червня 2026 року.
- DAO ліквідує залишки активів і компенсує користувачам до 19% від втраченої суми.
Aevo, платформа деривативів, створена колишньою командою Ribbon Finance, підтвердила втрату $2.7 мільйона зі своїх старих Ribbon DOV vaults після оновлення смарт-контракту, пов’язаного з oracle, 12 грудня.
Ми з жалем підтверджуємо, що старі Ribbon DOV vaults були зламані вчора через вразливість в оновленні смарт-контракту, що призвело до втрати приблизно $2.7M USD.
Ми негайно вжили заходів для виявлення першопричини та координуємо дії з CEX та…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 грудня 2025
Невдовзі після цього команда проекту повідомила, що Aevo назавжди відключить усі Ribbon vaults і проведе обмежений процес відшкодування для постраждалих користувачів. Було пояснено, що старий Ribbon DOV vault був зламаний 12 грудня через вразливості смарт-контракту в нещодавньому оновленні, що призвело до втрати $2.7 мільйона.
У результаті всі Ribbon vaults були призупинені і незабаром будуть назавжди відключені, з шестимісячним вікном для подачі заявок до 12 червня 2026 року. У повідомленні додається, що DAO ліквідує залишки активів, щоб компенсувати користувачам “до 19% від втраченої суми або залишкового балансу”, залежно від того, що менше.
Маємо оновлення щодо експлойту старих Ribbon DOVs, зокрема наступні кроки, які ми пропонуємо для вкладників постраждалих vaults.
Якщо у вас є активна позиція в Ribbon vault, будь ласка, уважно прочитайте, оскільки з вашого боку будуть потрібні дії.
Усі Ribbon vaults зупинені і…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 грудня 2025
Як насправді відбулася атака на Ribbon vault
Блокчейн-дослідники відновили шлях атаки, використовуючи експлойт-контракт за адресою 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE та щонайменше 15 адрес-отримувачів, вперше позначених аналітиком Specter у X. Specter написав, що “старий контракт @ribbonfinance був повністю вичерпаний на суму $2.7M”, перелічивши адреси, які отримали вкрадені [NC] та стейблкоїни.
Старий контракт @ribbonfinance був повністю вичерпаний на суму $2.7M.
Експлойт-контракт: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Адреси крадіжки:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 грудня 2025
Звіти з безпеки з кількох джерел погоджуються, що зловмисник скористався oracle proxy admin для подачі довільних цін закінчення для wstETH, AAVE, [NC] та інших базових активів, а потім закрив позиції oToken проти Ribbon’s MarginPool, щоб вивести активи з vaults.
Післяаналізи вказують на помилку невідповідності десяткових знаків, яка була введена шість днів тому, коли Ribbon оновив oracle pricer до 18-десяткових фідів для stETH, PAXG, LINK та AAVE, залишивши USDC на восьми десяткових. Дослідник Web3 Weilin підкреслив, що ця конфігурація дозволила підроблені ціни закінчення на спільному таймстемпі для різних активів, які потім pipeline розрахунків приймав як дійсні для великих коротких позицій oToken. Кошти зараз розподілені між початковими 15 адресами та кількома консолідаційними гаманцями, при цьому зловмисник не веде публічних переговорів щодо повернення.
Остання атака на @ribbonfinance, схоже, пов’язана з помилкою конфігурації oracle.
6 днів тому власники оновили oracle pricer, який використовує 18 десяткових для stETH, PAXG, LINK та AAVE. Однак ціна інших активів, таких як USDC, залишилася на 8 десяткових.
створення OToken не є… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 грудня 2025
Ціна Aevo реагує падінням
Ринок вже відреагував зниженням Aevo. AEVO торгується приблизно по $0.041 за токен сьогодні, з падінням на 7% за 7 днів і ринковою капіталізацією $37.7 мільйона при циркулюючій пропозиції 915.8 мільйона. Ця ціна на 98.9% нижча за історичний максимум $3.86 від 28 березня 2024 року.
Ціна Aevo за 7 днів | Джерело: CoinMarketCap
Імпліцитна вартість протоколу зараз наближається до on‑chain TVL близько $28.2 мільйона, що зменшує простір для помилок, коли DAO соціалізує втрату vault на 32%, але обіцяє лише до 19% відшкодування.
Обурення спільноти через план відшкодування Ribbon
Реакція спільноти на умови відшкодування у 19% стала ворожою у соціальних мережах та вторинних звітах.
це просто жахливо, ви не можете просто забрати гроші з неактивних акаунтів. що не так з цією індустрією
— 0xCommodity (@0xCommodity) 14 грудня 2025
Коментатори стверджують, що ранні вкладники Ribbon, які залишили активи у застарілих DOV vaults, спираючись на попередні гарантії, тепер втрачають понад 80%. Водночас Aevo продовжує працювати зі своєю основною біржею деривативів і L2 стеком без змін.
"…акаунти з найбільшими депозитами неактивні протягом останніх 2–4 років, і дуже ймовірно, що багато з них взагалі не виведуть кошти."
Люди досі виводять з Saffron V1 з 2020 року. Ви не можете просто вкрасти гроші, бо вони довго лежать на депозиті. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 грудня 2025
Користувачі також повідомляють, що деякі треди були видалені, а коментування постів Aevo тепер обмежене лише перевіреними акаунтами та тими, кого раніше згадував Aevo. Компанія спрямовує користувачів до офіційного процесу подачі заявок замість відкритих обговорень.
З інституційної точки зору сам експлойт виглядає як класична помилка конфігурації oracle. Проте реакція нагадує попередні кризові епізоди з Mango, Euler та іншими, де технічне виправлення відбувалося швидше, ніж соціальне.
Деск, який проводить великі обсяги через Aevo, тепер має враховувати не лише ризик смарт-контракту, а й ризик управління та соціального рівня у будь-якому продукті vault, що несе бренд Ribbon, оскільки DAO встановив прецедент, що втрати у старих vault можуть бути компенсовані лише частково, навіть якщо основна торгова платформа та токен залишаються активними.
