Vaults DeFi da Aevo são explorados, com prejuízo de cerca de $2,7 milhões.
Notícias Crypto
Vaults de opções DeFi legadas da Ribbon Finance foram drenados em cerca de $2,7 milhões em 12 de dezembro. O ataque visou contratos inteligentes ainda ativos no Ethereum, apesar da Ribbon ter se rebatizado como Aevo em 2023.
Analistas de segurança rastrearam a exploração a uma atualização de oracle em 6 de dezembro que permitiu inadvertidamente que qualquer usuário definisse preços para novos ativos. A vulnerabilidade era específica da configuração do oracle da Ribbon e não afetou o protocolo Opyn subjacente ou a exchange layer-2 principal da Aevo.
O analista de blockchain Specter identificou primeiro saídas suspeitas no X, sinalizando o endereço do contrato explorado e as carteiras iniciais de roubo. O atacante extraiu centenas de ETH e significativas quantias de USDC antes de distribuir os recursos para 15 endereços diferentes.
O pesquisador de segurança Liyi Zhou publicou uma análise detalhada explicando como o atacante manipulou a pilha oracle Opyn/Ribbon. A exploração forçou preços arbitrários de expiração para wstETH, AAVE, LINK e WBTC no oracle compartilhado em um timestamp comum.
Anton Cheng, da Monarch DeFi, confirmou que a atualização de 6 de dezembro permitia que qualquer pessoa definisse preços para novos ativos. Os DeFi Options Vaults alvo já detinham mais de $300 milhões em valor total bloqueado durante o pico do DeFi.
Aevo anunciou que todos os vaults Ribbon foram paralisados e serão desativados imediatamente. A equipe propôs que os saques sofram apenas uma redução de 19% no valor da posição no momento do hack, apesar dos vaults terem perdido aproximadamente 32%.
A redução menor é possível porque o DAO renunciará às suas próprias posições em vaults, no valor de cerca de $400 mil, para compensar parcialmente o roubo. Isso reduz as perdas líquidas para $2,3 milhões. Além disso, contas com os maiores depósitos estão inativas há 2–4 anos e provavelmente não sacarão.
Aevo está priorizando usuários ativos, concedendo a eles uma redução menor inicialmente. A janela de reivindicação será de seis meses, de 12 de dezembro a 12 de junho. Após essa data, o DAO liquidará os ativos restantes e os distribuirá aos usuários que já sacaram, compensando até os 19% perdidos ou o que sobrar disponível.
A equipe observou que o DAO nunca prometeu ou ofereceu seguro para depósitos. A manipulação de oracles continua sendo um vetor persistente de ataque em DeFi, com o Venus Protocol no ZKsync perdendo $717 mil em exploração semelhante no início deste ano.
Disclaimer: Este conteúdo foi traduzido por IA, portanto pode conter erros.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
