Vaults DeFi de Aevo son atacados, con pérdidas de alrededor de $2,7 millones.
Noticias Crypto
Los vaults de opciones DeFi legacy de Ribbon Finance fueron drenados por aproximadamente $2,7 millones el 12 de diciembre. El ataque se dirigió a contratos inteligentes que seguían activos en Ethereum a pesar de que Ribbon se rebrandó como Aevo en 2023.
Los analistas de seguridad rastrearon la explotación a una actualización del oracle el 6 de diciembre que inadvertidamente permitió a cualquier usuario establecer precios para los nuevos activos. La vulnerabilidad era específica de la configuración del oracle de Ribbon y no afectó al protocolo Opyn subyacente ni al exchange layer-2 principal de Aevo.
El analista de blockchain Specter identificó primero flujos sospechosos en X, señalando la dirección del contrato explotado y las primeras wallets del robo. El atacante extrajo cientos de ETH y una cantidad significativa de USDC antes de distribuir los fondos a 15 direcciones diferentes.
El investigador de seguridad Liyi Zhou publicó un análisis detallado explicando cómo el atacante manipuló la pila del oracle Opyn/Ribbon. La explotación estableció precios de expiración arbitrarios para wstETH, AAVE, LINK y WBTC en el oracle compartido en un timestamp común.
Anton Cheng de Monarch DeFi confirmó que la actualización del 6 de diciembre permitió a cualquiera establecer precios para nuevos activos. Los DeFi Options Vaults atacados alguna vez contuvieron más de $300 millones en valor total bloqueado durante el pico de DeFi.
Aevo anunció que todos los vaults Ribbon han sido detenidos y serán desmantelados inmediatamente. El equipo propuso que los retiros solo sufran una reducción del 19% sobre el valor de la posición en el momento del hack, aunque los vaults sufrieron aproximadamente un 32% de pérdidas.
La reducción menor es posible porque el DAO renunciará a sus propias posiciones en vaults por valor de aproximadamente $400,000 para compensar parcialmente el robo. Esto reduce las pérdidas netas a $2,3 millones. Además, las cuentas con los depósitos más grandes han estado inactivas entre 2 y 4 años y probablemente no retirarán.
Aevo está priorizando a los usuarios activos, otorgándoles una reducción menor inicialmente. La ventana de reclamaciones durará seis meses, del 12 de diciembre al 12 de junio. Después de esa fecha, el DAO liquidará los activos restantes y los distribuirá a los usuarios que previamente retiraron, compensando hasta el 19% faltante o lo que quede disponible.
El equipo señaló que el DAO nunca prometió ni ofreció seguro para los depósitos. La manipulación de oracles sigue siendo un vector persistente de ataques DeFi, con Venus Protocol en ZKsync perdiendo $717,000 en una explotación similar a principios de este año.
Disclaimer: Este contenido ha sido traducido por IA, por lo que puede contener errores.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
