Notas Principais
- Os cofres legados Ribbon DOV da Aevo perderam US$ 2,7 milhões em 12 de dezembro após uma atualização do oráculo que introduziu uma vulnerabilidade em contrato inteligente.
- Todos os cofres Ribbon estão permanentemente desativados e uma janela de reivindicação de seis meses vai até 12 de junho de 2026.
- A DAO irá liquidar os ativos restantes e compensar os usuários em até 19% do valor perdido.
Aevo, a plataforma de derivativos criada pela antiga equipe da Ribbon Finance, confirmou uma perda de US$ 2,7 milhões de seus cofres legados Ribbon DOV após uma atualização de contrato inteligente relacionada ao oráculo em 12 de dezembro.
Lamentamos confirmar que os cofres legados Ribbon DOV foram explorados ontem após uma vulnerabilidade em uma atualização de contrato inteligente, resultando em uma perda de aproximadamente US$ 2,7 milhões.
Agimos imediatamente para identificar a causa raiz e estamos coordenando com CEXs e…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 de dezembro de 2025
Pouco depois, a equipe do projeto informou que a Aevo irá desativar permanentemente todos os cofres Ribbon e executar um processo de recuperação limitado para os usuários afetados. Explicou que o antigo cofre Ribbon DOV foi hackeado em 12 de dezembro devido a vulnerabilidades em contratos inteligentes em uma atualização recente, levando a uma perda de US$ 2,7 milhões.
Como consequência, todos os cofres Ribbon foram pausados e em breve devem ser permanentemente desativados, com uma janela de reivindicação de seis meses até 12 de junho de 2026. O comunicado acrescenta que a DAO irá liquidar os ativos restantes para compensar os usuários “em até 19% do valor perdido ou o saldo remanescente”, o que for menor.
Temos uma atualização sobre o exploit dos Ribbon DOVs legados, especificamente os próximos passos que estamos propondo para os depositantes dos cofres afetados.
Se você tem uma posição ativa em cofre Ribbon, leia com atenção, pois será necessária uma ação de sua parte.
Todos os cofres Ribbon foram parados e…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 de dezembro de 2025
Como o hack dos cofres Ribbon realmente aconteceu
Investigadores de blockchain reconstruíram o caminho do ataque usando o contrato explorado em 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE e pelo menos 15 endereços de destinatários inicialmente sinalizados pelo analista on-chain Specter no X. Specter escreveu que “o contrato antigo da @ribbonfinance foi drenado em um total de US$ 2,7 milhões”, listando endereços de roubo que receberam [NC] e stablecoins drenados.
O contrato antigo da @ribbonfinance foi drenado em um total de US$ 2,7 milhões.
Contrato explorado: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Endereços de roubo:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 de dezembro de 2025
Relatórios de segurança de várias fontes concordam que o atacante abusou do admin proxy do oráculo para submeter preços de expiração arbitrários para wstETH, AAVE, [NC] e outros ativos subjacentes, então liquidou posições de oToken contra o MarginPool da Ribbon para retirar ativos dos cofres.
Análises pós-morte apontam para um bug de incompatibilidade decimal introduzido seis dias antes, quando a Ribbon atualizou o oráculo para feeds de 18 decimais para stETH, PAXG, LINK e AAVE, enquanto manteve USDC em oito decimais. O pesquisador de segurança Web3 Weilin destacou que a configuração permitiu preços de expiração forjados em um timestamp compartilhado entre os ativos, que o pipeline de liquidação então tratou como válidos para posições short proeminentes de oToken. Os fundos agora estão espalhados entre os 15 endereços originais e várias carteiras de consolidação, sem negociação pública de recuperação por parte do atacante.
O último ataque à @ribbonfinance parece ser uma falha de configuração do oráculo.
Há 6 dias, os proprietários atualizaram o oráculo, que usa preço com 18 decimais para stETH, PAXG, LINK e AAVE. No entanto, outros ativos como USDC permanecem com 8 decimais.
a criação de OToken não é um… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 de dezembro de 2025
Preço da Aevo reage com queda
O mercado já marcou a Aevo para baixo. AEVO é negociado hoje a cerca de US$ 0,041 por token, com uma queda de 7% em 7 dias e um valor de mercado de US$ 37,7 milhões em uma oferta circulante de 915,8 milhões. Esse preço está 98,9% abaixo do recorde histórico de 28 de março de 2024, de US$ 3,86.
Preço da Aevo em 7 dias | Fonte: CoinMarketCap
O valor implícito do protocolo agora paira próximo ao TVL on-chain de cerca de US$ 28,2 milhões, o que comprime a margem de erro quando a DAO socializa uma perda de 32% nos cofres, mas promete apenas até 19% de reembolso.
Reação negativa da comunidade ao plano de recuperação da Ribbon
A reação da comunidade aos termos de recuperação de 19% tornou-se hostil em canais sociais e reportagens secundárias.
isso é muito errado, você não pode simplesmente pegar dinheiro de contas inativas. que porra está errada com essa indústria
— 0xCommodity (@0xCommodity) 14 de dezembro de 2025
Comentadores argumentam que os primeiros depositantes da Ribbon, que deixaram ativos em cofres DOV depreciados com base em garantias anteriores, agora sofrem uma perda superior a 80%. Ao mesmo tempo, a Aevo continua operando sua principal exchange de derivativos e stack L2 sem ser afetada.
"…as contas com os maiores depósitos ficaram inativas nos últimos 2–4 anos, e é muito provável que muitas delas não retirem nada."
Pessoas ainda estão retirando do Saffron V1 de 2020. Você não pode simplesmente roubar dinheiro porque ele ficou depositado por um tempo. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 de dezembro de 2025
Usuários também relatam que alguns tópicos foram deletados e que comentar nas postagens da Aevo agora está limitado a contas verificadas e aquelas previamente mencionadas pela Aevo. A empresa direciona os usuários para o processo formal de reivindicação em vez de debate aberto.
Do ponto de vista institucional, o exploit em si parece uma falha clássica de configuração de oráculo. Ainda assim, a resposta reflete episódios de estresse anteriores envolvendo Mango, Euler e outros, onde a solução técnica chegou mais rápido do que a social.
Uma mesa que roteia volume pela Aevo agora precisa precificar não apenas o risco de contrato inteligente, mas também o risco de governança e camada social em qualquer produto de cofre que carregue a marca legada Ribbon, já que a DAO estabeleceu um precedente de que perdas em linhas de cofres antigos podem ser liquidadas por uma fração do valor nominal mesmo enquanto a plataforma principal de negociação e o token permanecem ativos.
