Aevo DeFi Vaults werden ausgenutzt, Verlust etwa $2,7 Mio.
Crypto-News
Legacy-DeFi-Options-Vaults von Ribbon Finance wurden am 12. Dezember um ca. $2,7 Mio. geleert. Der Angriff zielte auf Smart Contracts, die trotz des Rebrandings von Ribbon zu Aevo im Jahr 2023 auf Ethereum aktiv blieben.
Sicherheitsanalysten verfolgten den Exploit auf ein Oracle-Upgrade vom 6. Dezember zurück, das unbeabsichtigt jedem Benutzer erlaubte, Preise für neu hinzugefügte Assets festzulegen. Die Schwachstelle war spezifisch für die Oracle-Konfiguration von Ribbon und betraf weder das zugrunde liegende Opyn-Protokoll noch die primäre Layer-2-Börse von Aevo.
Blockchain-Analyst Specter identifizierte zuerst verdächtige Abflüsse auf X, markierte die Exploit-Vertragsadresse und die ersten Diebstahl-Wallets. Der Angreifer extrahierte Hunderte ETH und beträchtliche USDC-Bestände, bevor die Erlöse auf 15 separate Adressen verteilt wurden.
Sicherheitsforscher Liyi Zhou veröffentlichte eine detaillierte Analyse, wie der Angreifer den Opyn/Ribbon-Oracle-Stack manipulierte. Der Exploit drückte willkürliche Ablaufpreise für wstETH, AAVE, LINK und WBTC in das gemeinsame Oracle zu einem gemeinsamen Ablaufzeitpunkt.
Anton Cheng von Monarch DeFi bestätigte, dass das Upgrade vom 6. Dezember es jedem erlaubte, Preise für neue Assets festzulegen. Die angegriffenen DeFi Options Vaults hielten während der DeFi-Hochphase mehr als $300 Mio. im Total Value Locked.
Aevo gab bekannt, dass alle Ribbon-Vaults gestoppt und sofort stillgelegt werden. Das Team schlug vor, dass Abhebungen nur einer Reduktion von 19 % des Positionswertes zum Zeitpunkt des Hacks unterliegen, obwohl die Vaults rund 32 % Verlust erlitten.
Die geringere Kürzung ist möglich, da das DAO seine eigenen Vault-Positionen im Wert von ca. $400.000 aufgibt, um den Diebstahl teilweise auszugleichen. Dies reduziert den Nettoschaden auf $2,3 Mio. Außerdem sind Konten mit den größten Einlagen seit 2–4 Jahren inaktiv und werden wahrscheinlich nicht abheben.
Aevo priorisiert aktive Nutzer, indem sie eine geringere Reduktion im Voraus erhalten. Das Anspruchsfenster läuft sechs Monate vom 12. Dezember bis 12. Juni. Danach wird das DAO verbleibende Assets liquidieren und sie an Nutzer verteilen, die zuvor abgehoben haben, und bis zu 19 % des Fehlbetrags oder so viel wie verfügbar ausgleichen.
Das Team bemerkte, dass das DAO nie eine Versicherung auf Einlagen versprochen oder angeboten hat. Oracle-Manipulation bleibt ein persistenter DeFi-Angriffsvektor, wobei Venus Protocol auf ZKsync Anfang des Jahres $717.000 in einem ähnlichen Exploit verlor.
Disclaimer: Dieser Inhalt wurde von KI übersetzt und kann Fehler enthalten.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
