Các kho DeFi Ribbon của Aevo bị khai thác, thiệt hại khoảng 2,7 triệu USD.
Tin tức Crypto
Các kho tùy chọn DeFi cũ từ Ribbon Finance bị rút khoảng 2,7 triệu USD vào ngày 12 tháng 12. Cuộc tấn công nhắm vào các hợp đồng thông minh vẫn còn hoạt động trên Ethereum mặc dù Ribbon đã đổi thương hiệu thành Aevo vào năm 2023.
Các nhà phân tích bảo mật truy nguồn lỗ hổng từ bản nâng cấp oracle ngày 6 tháng 12, cho phép bất kỳ người dùng nào đặt giá cho các tài sản mới được thêm. Lỗ hổng này chỉ liên quan đến cấu hình oracle của Ribbon và không ảnh hưởng đến giao thức Opyn nền tảng hoặc sàn layer-2 chính của Aevo.
Chuyên gia blockchain Specter lần đầu phát hiện dòng tiền đáng ngờ trên X, đánh dấu địa chỉ hợp đồng bị khai thác và các ví trộm cắp ban đầu. Kẻ tấn công đã rút hàng trăm ETH và lượng lớn USDC trước khi phân phối tiền thu được cho 15 địa chỉ khác nhau.
Nhà nghiên cứu bảo mật Liyi Zhou đã công bố phân tích chi tiết về cách kẻ tấn công thao túng ngăn xếp oracle Opyn/Ribbon. Lỗ hổng này đẩy các giá hết hạn tùy ý cho wstETH, AAVE, LINK và WBTC vào oracle chung tại cùng mốc thời gian hết hạn.
Anton Cheng từ Monarch DeFi xác nhận bản nâng cấp ngày 6 tháng 12 cho phép bất kỳ ai đặt giá cho các tài sản mới. Các DeFi Options Vault bị tấn công từng nắm giữ tổng giá trị hơn 300 triệu USD trong thời kỳ đỉnh cao của DeFi.
Aevo thông báo tất cả các kho Ribbon đã bị dừng và sẽ được loại bỏ ngay lập tức. Nhóm đề xuất rằng việc rút tiền sẽ chỉ chịu giảm 19% giá trị vị trí tại thời điểm hack, mặc dù các kho chịu thiệt hại khoảng 32%.
Giảm thiểu nhỏ này khả thi vì DAO sẽ từ bỏ các vị trí kho của chính mình trị giá khoảng 400.000 USD để bù một phần cho vụ trộm. Điều này giảm lỗ ròng xuống còn 2,3 triệu USD. Ngoài ra, các tài khoản có số tiền gửi lớn nhất đã không hoạt động trong 2–4 năm qua và có thể sẽ không rút tiền.
Aevo ưu tiên người dùng đang hoạt động bằng cách cho họ giảm thiểu ít hơn trước. Thời gian khiếu nại kéo dài sáu tháng từ ngày 12 tháng 12 đến 12 tháng 6. Sau đó, DAO sẽ thanh lý tài sản còn lại và phân phối cho những người dùng đã rút trước đó, bồi thường tối đa 19% thiếu hụt hoặc số còn lại có sẵn.
Nhóm lưu ý rằng DAO chưa bao giờ hứa hay cung cấp bảo hiểm cho các khoản gửi. Việc thao túng oracle vẫn là phương thức tấn công DeFi phổ biến, với Venus Protocol trên ZKsync mất 717.000 USD trong một vụ khai thác tương tự trước đó trong năm.
Disclaimer: Nội dung này được dịch bởi AI nên có thể có sai sót.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
