Points clés
- Les anciens coffres Ribbon DOV d'Aevo ont perdu 2,7 millions de dollars le 12 décembre après qu'une mise à jour de l'oracle a introduit une vulnérabilité dans le smart contract.
- Tous les coffres Ribbon sont définitivement désactivés et une période de réclamation de six mois court jusqu'au 12 juin 2026.
- La DAO liquidera les actifs restants et indemnisera les utilisateurs jusqu'à 19 % du montant manquant.
Aevo, la plateforme de produits dérivés créée par l'ancienne équipe de Ribbon Finance, a confirmé une perte de 2,7 millions de dollars provenant de ses anciens coffres Ribbon DOV après une mise à jour du smart contract liée à l'oracle le 12 décembre.
Nous regrettons de confirmer que les anciens coffres Ribbon DOV ont été exploités hier suite à une vulnérabilité dans une mise à jour du smart contract, entraînant une perte d'environ 2,7 millions de dollars USD.
Nous avons immédiatement pris des mesures pour identifier la cause première et nous coordonnons avec les CEX et…
— Aevo (anciennement Ribbon Finance) (@ribbonfinance) 13 décembre 2025
Peu après, l'équipe du projet a relayé qu'Aevo désactivera définitivement tous les coffres Ribbon et mettra en place un processus de récupération plafonné pour les utilisateurs affectés. Elle a expliqué que l'ancien coffre Ribbon DOV a été piraté le 12 décembre en raison de vulnérabilités du smart contract dans une mise à jour récente, entraînant une perte de 2,7 millions de dollars.
En conséquence, tous les coffres Ribbon ont été mis en pause et devraient bientôt être définitivement désactivés, avec une période de réclamation de six mois jusqu'au 12 juin 2026. Le post ajoute que la DAO liquidera les actifs restants pour indemniser les utilisateurs « jusqu'à 19 % du montant manquant ou du solde restant », selon le montant le plus faible.
Nous avons une mise à jour concernant l'exploitation des anciens Ribbon DOVs, en particulier les prochaines étapes que nous proposons pour les déposants affectés.
Si vous avez une position active dans un coffre Ribbon, veuillez lire attentivement, car une action sera requise de votre part.
Tous les coffres Ribbon ont été arrêtés et…
— Aevo (anciennement Ribbon Finance) (@ribbonfinance) 14 décembre 2025
Comment le piratage des coffres Ribbon s'est réellement produit
Des enquêteurs blockchain ont reconstitué le chemin de l'attaque en utilisant le contrat d'exploitation à l'adresse 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE et au moins 15 adresses de destinataires identifiées initialement par l'analyste on-chain Specter sur X. Specter a écrit que « l'ancien contrat de @ribbonfinance a été vidé pour un total de 2,7 millions de dollars », listant les adresses de vol ayant reçu les fonds drainés [NC] et des stablecoins.
L'ancien contrat de @ribbonfinance a été vidé pour un total de 2,7 millions de dollars.
Contrat d'exploitation : 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Adresses de vol :
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 décembre 2025
Des rapports de sécurité provenant de plusieurs sources s'accordent à dire que l'attaquant a abusé de l'oracle proxy admin pour soumettre des prix d'expiration arbitraires pour wstETH, AAVE, [NC], et d'autres sous-jacents, puis a réglé des positions oToken contre le MarginPool de Ribbon pour retirer des actifs des coffres.
Les analyses post-mortem pointent un bug de discordance des décimales introduit six jours plus tôt, lorsque Ribbon a mis à jour le pricer de l'oracle vers des flux à 18 décimales pour stETH, PAXG, LINK et AAVE tout en maintenant USDC à huit décimales. Le chercheur en sécurité Web3 Weilin a souligné que cette configuration permettait la création de prix d'expiration falsifiés à un même timestamp pour plusieurs actifs, que la chaîne de règlement considérait alors comme valides pour des positions oToken short importantes. Les fonds sont désormais répartis sur les 15 adresses d'origine et plusieurs portefeuilles de consolidation, sans négociation publique de récupération de la part de l'attaquant.
La dernière attaque contre @ribbonfinance semble être due à une mauvaise configuration de l'oracle.
Il y a 6 jours, les propriétaires ont mis à jour le pricer de l'oracle qui utilise un prix à 18 décimales pour stETH, PAXG, LINK et AAVE. Cependant, d'autres actifs comme USDC restent à 8 décimales.
La création d'OToken n'est pas une… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 décembre 2025
Le prix d'Aevo réagit par une chute
Le marché a déjà sanctionné Aevo. AEVO se négocie aujourd'hui autour de 0,041 $ par token, avec une baisse de 7 % sur 7 jours et une capitalisation de 37,7 millions de dollars pour une offre en circulation de 915,8 millions. Ce prix est inférieur de 98,9 % au sommet historique du 28 mars 2024, à 3,86 $.
Prix d'Aevo sur 7 jours | Source : CoinMarketCap
La valeur implicite du protocole oscille désormais près du TVL on-chain d'environ 28,2 millions de dollars, ce qui réduit la marge d'erreur alors que la DAO socialise une perte de 32 % sur les coffres mais ne promet qu'un remboursement allant jusqu'à 19 %.
Réaction négative de la communauté face au plan de récupération de Ribbon
La réaction de la communauté aux conditions de récupération de 19 % est devenue hostile sur les réseaux sociaux et dans les reportages secondaires.
c'est vraiment abusé, vous ne pouvez pas simplement prendre l'argent des comptes dormants. c'est quoi ce problème dans cette industrie
— 0xCommodity (@0xCommodity) 14 décembre 2025
Des commentateurs soutiennent que les premiers déposants de Ribbon, qui ont laissé des actifs dans les anciens coffres DOV sur la base d'assurances passées, subissent maintenant une perte de plus de 80 %. Dans le même temps, Aevo continue d'exploiter sa principale plateforme de produits dérivés et sa pile L2 sans être affectée.
« …les comptes avec les plus gros dépôts sont devenus dormants au cours des 2 à 4 dernières années, et il est très probable que beaucoup d'entre eux ne retireront jamais. »
Des gens retirent encore de Saffron V1 depuis 2020. Vous ne pouvez pas simplement voler de l'argent parce qu'il a été déposé depuis un moment. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 décembre 2025
Des utilisateurs rapportent également que certains fils de discussion ont été supprimés, et que la possibilité de commenter les publications d'Aevo est désormais limitée aux comptes vérifiés et à ceux déjà mentionnés par Aevo. L'entreprise oriente les utilisateurs vers le processus formel de réclamation plutôt que vers un débat ouvert.
D'un point de vue institutionnel, l'exploitation elle-même ressemble à un cas d'école d'échec de configuration d'oracle. Pourtant, la réponse reflète des épisodes de stress antérieurs autour de Mango, Euler et d'autres, où la correction technique est arrivée plus vite que la résolution sociale.
Un desk qui route des volumes via Aevo doit désormais évaluer non seulement le risque du smart contract, mais aussi le risque de gouvernance et de couche sociale dans tout produit de coffre portant la marque héritée Ribbon, puisque la DAO a établi un précédent selon lequel les pertes sur les anciennes lignes de coffres peuvent être réglées à une fraction de leur valeur nominale, même si la plateforme de trading principale et le token restent actifs.
