Хранилища Ribbon DOV от Aevo потеряли $2,7 млн после обновления оракула

Устаревшие смарт-контракты Ribbon Finance, связанные с Aevo, были взломаны 12 декабря. По данным исследователей блокчейн-безопасности, злоумышленники вывели около $2,7 млн. Причиной стала ошибка после обновления инфраструктуры оракулов, которая позволила манипулировать ценами.

Атака была направлена на DeFi Options Vaults от Ribbon. Это структурированные продукты, которые на пике DeFi удерживали более $300 млн заблокированных средств. Несмотря на ребрендинг Ribbon Finance в 2023 году и переход проекта к деривативной бирже Aevo, эти хранилища продолжали работать в сети Ethereum. Команда Aevo заявила, что основной L2-обменник платформы не пострадал.

Первым на подозрительные выводы средств обратил внимание блокчейн-аналитик Specter. В X он указал адрес контракта, через который проводился эксплойт, а также кошельки, куда поступили первые украденные средства. Нападавший вывел сотни ETH и крупный объём USDC, после чего распределил активы по 15 разным адресам. На большинстве из них хранилось около 100 ETH.

Исследователь в области безопасности Лийи Чжоу опубликовал подробный разбор атаки в X. По его словам, злоумышленник использовал уязвимость в связке оракулов Opyn и Ribbon, манипулируя прокси ценовых потоков. Это позволило подставить произвольные цены для wstETH, AAVE, LINK и WBTC в общий оракул на один и тот же момент экспирации.

Представитель Monarch DeFi Антон Чэнг отметил, что эксплойт стал возможен после обновления кода оракула 6 декабря. Изменения позволяли любому пользователю задавать цены для новых активов. При этом Чэнг подтвердил, что сам протокол Opyn не был взломан. Уязвимость касалась только конфигурации оракулов Ribbon.

Aevo отключит все хранилища Ribbon

В заявлении в X команда Aevo сообщила, что все хранилища Ribbon остановлены и будут выведены из эксплуатации в ближайшее время. По оценке команды, общий ущерб составил около 32%. При этом Aevo предлагает ограничить потери пользователей снижением стоимости позиций на 19% на момент взлома.

В компании объяснили, почему могут предложить меньший размер потерь. Во-первых, DAO откажется от собственных позиций в хранилищах. Речь идёт примерно о $400 тыс. в разных активах. Это позволит частично компенсировать ущерб и сократить чистые потери до $2,3 млн.

Во-вторых, в Aevo отметили, что аккаунты с самыми крупными депозитами не проявляли активности в течение последних двух-четырёх лет. По мнению команды, часть таких пользователей, скорее всего, не будет выводить средства.

По словам команды, с учётом ожидаемой доли неактивных аккаунтов есть высокая вероятность, что пользователи, которые подадут заявку на вывод в установленный срок, в итоге получат полную компенсацию после финального распределения средств.

Читайте также: SEC выпустила руководство для инвесторов о криптокошельках и рисках хранения

Окно для подачи заявок на вывод будет открыто в течение шести месяцев. Оно продлится с 12 декабря по 12 июня. После этого DAO ликвидирует оставшиеся активы и распределит их между пользователями, которые уже вывели средства. Компенсация может покрыть недостающие 19% либо ту сумму, которая останется доступной. В команде отдельно подчеркнули, что DAO никогда не обещала и не предоставляла страхование депозитов.

Манипуляции с оракулами по-прежнему остаются одной из самых распространённых атак в DeFi. Ранее в этом году Venus Protocol в сети ZKsync потерял $717 тыс. из-за схожего эксплойта.