Хранилища DeFi Aevo подверглись атаке, ущерб составил около $2,7 млн.
Новости Crypto
Устаревшие хранилища опционов DeFi от Ribbon Finance были опустошены примерно на $2,7 млн 12 декабря. Атака была направлена на смарт-контракты, которые оставались активными в Ethereum, несмотря на ребрендинг Ribbon в Aevo в 2023 году.
Аналитики по безопасности установили, что уязвимость возникла из-за обновления оракула 6 декабря, которое случайно позволило любому пользователю устанавливать цены для новых активов. Уязвимость была специфична для конфигурации оракула Ribbon и не затронула основной протокол Opyn или основной layer-2 обмен Aevo.
Аналитик блокчейна Specter впервые заметил подозрительные оттоки на X, отметив адрес контракта-эксплойта и первые кошельки кражи. Злоумышленник извлек сотни ETH и значительные запасы USDC, прежде чем распределить средства на 15 отдельных адресов.
Исследователь безопасности Liyi Zhou опубликовал детальный анализ того, как злоумышленник манипулировал стеком оракулов Opyn/Ribbon. Эксплойт установил произвольные цены истечения для wstETH, AAVE, LINK и WBTC в общий оракул на общий момент истечения.
Anton Cheng из Monarch DeFi подтвердил, что обновление 6 декабря позволило любому устанавливать цены для новых активов. Целевые DeFi Options Vaults ранее содержали более $300 млн в общей заблокированной стоимости во время пика DeFi.
Aevo объявила, что все хранилища Ribbon были остановлены и будут немедленно выведены из эксплуатации. Команда предложила, чтобы снятие средств подвергалось лишь 19%-ному снижению стоимости позиции на момент взлома, несмотря на то, что хранилища понесли примерно 32% убытков.
Меньшее сокращение возможно, потому что DAO откажется от собственных позиций в хранилищах стоимостью около $400 тыс., чтобы частично компенсировать кражу. Это снижает чистые потери до $2,3 млн. Кроме того, аккаунты с наибольшими депозитами бездействовали в последние 2–4 года и, вероятно, не будут снимать средства.
Aevo делает приоритет на активных пользователей, предоставляя им меньшее сокращение сразу. Период подачи претензий продлится шесть месяцев с 12 декабря по 12 июня. После этой даты DAO ликвидирует оставшиеся активы и распределит их среди пользователей, которые ранее сняли средства, компенсируя до 19% недостающей суммы или сколько останется в наличии.
Команда отметила, что DAO никогда не обещала и не предоставляла страхование депозитов. Манипуляция оракулом остается распространенным вектором атак DeFi, аналогично Venus Protocol на ZKsync потерял $717 тыс. в похожей атаке ранее в этом году.
Disclaimer: Этот контент переведен с помощью ИИ, поэтому возможны ошибки.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
