Vault DeFi Aevo diretas, kerugian sekitar $2,7 juta.
Berita Crypto
Vault opsi DeFi legacy dari Ribbon Finance dikuras sekitar $2,7 juta pada 12 Desember. Serangan menargetkan smart contract yang masih aktif di Ethereum meskipun Ribbon melakukan rebranding menjadi Aevo pada 2023.
Analis keamanan menelusuri eksploitasi ke pembaruan oracle 6 Desember yang secara tidak sengaja memungkinkan siapa saja menetapkan harga untuk aset baru. Kerentanan ini khusus untuk konfigurasi oracle Ribbon dan tidak memengaruhi protokol Opyn atau exchange layer-2 utama Aevo.
Analis blockchain Specter pertama kali mengidentifikasi aliran keluar mencurigakan di X, menandai alamat kontrak eksploitasi dan dompet awal pencurian. Penyerang mengambil ratusan ETH dan USDC sebelum mendistribusikan hasilnya ke 15 alamat berbeda.
Peneliti keamanan Liyi Zhou mempublikasikan analisis rinci tentang bagaimana penyerang memanipulasi tumpukan oracle Opyn/Ribbon. Eksploit mendorong harga kedaluwarsa arbitrer untuk wstETH, AAVE, LINK, dan WBTC ke oracle bersama pada timestamp kedaluwarsa yang sama.
Anton Cheng dari Monarch DeFi mengonfirmasi bahwa pembaruan 6 Desember memungkinkan siapa saja menetapkan harga untuk aset baru. Vault DeFi Options yang menjadi target pernah menyimpan lebih dari $300 juta pada periode puncak DeFi.
Aevo mengumumkan semua vault Ribbon telah dihentikan dan akan segera dinonaktifkan. Tim mengusulkan penarikan hanya akan mengalami pengurangan 19% dari nilai posisi saat peretasan, meskipun vault menderita kerugian sekitar 32%.
Pengurangan lebih kecil ini memungkinkan karena DAO akan melepaskan posisi vaultnya sendiri senilai sekitar $400.000 untuk sebagian menutupi pencurian. Ini mengurangi kerugian bersih menjadi $2,3 juta. Selain itu, akun dengan setoran terbesar telah tidak aktif selama 2–4 tahun terakhir dan kemungkinan tidak akan menarik dana.
Aevo memprioritaskan pengguna aktif dengan memberikan pengurangan lebih kecil di awal. Jendela klaim berlangsung enam bulan dari 12 Desember hingga 12 Juni. Setelah tanggal itu, DAO akan melikuidasi aset yang tersisa dan mendistribusikannya ke pengguna yang sebelumnya menarik, mengganti hingga 19% yang hilang atau sebanyak yang tersedia.
Tim mencatat bahwa DAO tidak pernah menjanjikan atau menawarkan asuransi untuk deposit. Manipulasi oracle tetap menjadi vektor serangan DeFi yang persisten, dengan Venus Protocol di ZKsync kehilangan $717.000 dalam eksploitasi serupa sebelumnya tahun ini.
Disclaimer: Konten ini diterjemahkan oleh AI sehingga mungkin terdapat kesalahan.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
