DeFi Vaults Aevo зазнали атаки, збиток близько $2,7 млн.
Новини Crypto
Старі vaults опціонів DeFi від Ribbon Finance були спустошені приблизно на $2,7 млн 12 грудня. Атака націлилася на смарт-контракти, що залишалися активними на Ethereum, незважаючи на ребрендинг Ribbon у Aevo у 2023 році.
Аналітики безпеки відстежили експлойт до оновлення oracle 6 грудня, яке ненавмисно дозволило будь-якому користувачу встановлювати ціни на нові активи. Вразливість була специфічною для конфігурації oracle Ribbon і не вплинула на базовий протокол Opyn або основну layer-2 біржу Aevo.
Аналітик блокчейну Specter вперше виявив підозрілі відтоки на X, позначивши адресу контракту-експлойту та початкові гаманці для крадіжки. Зловмисник витягнув сотні ETH і значні обсяги USDC перед тим, як розподілити кошти на 15 окремих адрес.
Дослідник безпеки Liyi Zhou опублікував детальний аналіз того, як зловмисник маніпулював стеком oracle Opyn/Ribbon. Експлойт встановлював довільні ціни закінчення для wstETH, AAVE, LINK і WBTC у спільний oracle на однаковий час закінчення.
Anton Cheng з Monarch DeFi підтвердив, що оновлення 6 грудня дозволяло будь-кому встановлювати ціни для нових активів. Цільові DeFi Options Vaults колись тримали понад $300 млн загальної заблокованої вартості під час піку DeFi.
Aevo оголосила, що всі vaults Ribbon зупинені та будуть негайно виведені з експлуатації. Команда запропонувала, щоб зняття коштів підлягало лише 19%-овому скороченню вартості позиції на момент хакерської атаки, хоча vaults зазнали приблизно 32% збитків.
Менше скорочення можливе, оскільки DAO відмовиться від власних позицій у vaults приблизно на $400 тис., щоб частково компенсувати крадіжку. Це зменшує чисті втрати до $2,3 млн. Крім того, акаунти з найбільшими депозитами були неактивні протягом 2–4 років і, ймовірно, не здійснюватимуть зняття.
Aevo надає пріоритет активним користувачам, надаючи їм менше скорочення спочатку. Період подання вимог триватиме шість місяців з 12 грудня до 12 червня. Після цієї дати DAO ліквідує залишкові активи та розподілить їх користувачам, які раніше знімали кошти, компенсуючи до 19% нестачі або скільки залишиться.
Команда зазначила, що DAO ніколи не обіцяла і не пропонувала страхування депозитів. Маніпуляція oracle залишається постійним вектором атак у DeFi, і Venus Protocol на ZKsync раніше цього року втратив $717 тис. у подібній експлуатації.
Disclaimer: Цей контент перекладено ШІ, тому можливі помилки.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
