Ключевые моменты
- Устаревшие Ribbon DOV-хранилища Aevo потеряли 2,7 миллиона долларов 12 декабря после того, как обновление оракула привело к уязвимости в смарт-контракте.
- Все Ribbon-хранилища навсегда отключены, а окно подачи заявок на компенсацию длится до 12 июня 2026 года.
- DAO ликвидирует оставшиеся активы и компенсирует пользователям до 19% от пропавшей суммы.
Aevo, платформа деривативов, созданная бывшей командой Ribbon Finance, подтвердила потерю в 2,7 миллиона долларов из устаревших Ribbon DOV-хранилищ после обновления смарт-контракта, связанного с оракулом, 12 декабря.
С сожалением подтверждаем, что устаревшие Ribbon DOV-хранилища были взломаны вчера из-за уязвимости в обновлении смарт-контракта, что привело к потере примерно 2,7 миллиона долларов США.
Мы немедленно приняли меры для выявления первопричины и координируем действия с CEX и…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 декабря 2025
Вскоре после этого команда проекта сообщила, что Aevo навсегда отключит все Ribbon-хранилища и запустит ограниченный процесс восстановления для пострадавших пользователей. Было объяснено, что старое Ribbon DOV-хранилище было взломано 12 декабря из-за уязвимостей смарт-контракта в недавнем обновлении, что привело к потере 2,7 миллиона долларов.
В результате все Ribbon-хранилища были приостановлены и вскоре будут навсегда отключены, с шестимесячным окном подачи заявок до 12 июня 2026 года. В публикации добавляется, что DAO ликвидирует оставшиеся активы для компенсации пользователям "до 19% от пропавшей суммы или оставшегося баланса", в зависимости от того, что меньше.
У нас есть обновление по эксплойту устаревших Ribbon DOV, в частности по следующим шагам, которые мы предлагаем для пострадавших вкладчиков хранилищ.
Если у вас есть активная позиция в Ribbon-хранилище, пожалуйста, внимательно прочитайте, так как с вашей стороны потребуется действие.
Все Ribbon-хранилища были остановлены и…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 декабря 2025
Как на самом деле произошёл взлом Ribbon-хранилища
Блокчейн-исследователи восстановили путь атаки, используя эксплойт-контракт по адресу 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE и как минимум 15 адресов получателей, впервые отмеченных аналитиком Specter в X. Specter написал, что "старый контракт @ribbonfinance был опустошён на общую сумму 2,7 миллиона долларов", указав адреса, на которые были выведены украденные [NC] и стейблкоины.
Старый контракт @ribbonfinance был опустошён на общую сумму 2,7 миллиона долларов.
Эксплойт-контракт: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Адреса кражи:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 декабря 2025
Аналитические отчёты по безопасности с разных площадок сходятся во мнении, что злоумышленник использовал oracle proxy admin для подачи произвольных цен экспирации для wstETH, AAVE, [NC] и других базовых активов, а затем закрывал позиции oToken против MarginPool Ribbon, чтобы вывести активы из хранилищ.
Анализ инцидента указывает на ошибку несовпадения десятичных знаков, появившуюся за шесть дней до этого, когда Ribbon обновил oracle pricer до 18-десятичных фидов для stETH, PAXG, LINK и AAVE, оставив USDC на восьми десятичных. Исследователь Web3 Weilin отметил, что такая конфигурация позволила подделывать цены экспирации с общим временным штампом для разных активов, которые затем система расчёта принимала как действительные для крупных коротких позиций oToken. Средства сейчас распределены по исходным 15 адресам и нескольким консолидирующим кошелькам, при этом злоумышленник публично не ведёт переговоров о возврате.
Последняя атака на @ribbonfinance, похоже, связана с ошибкой конфигурации оракула.
6 дней назад владельцы обновили oracle pricer, который использует 18-десятичные цены для stETH, PAXG, LINK и AAVE. Однако для других активов, таких как USDC, цена осталась с 8 десятичными.
создание OToken не является… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 декабря 2025
Цена Aevo реагирует падением
Рынок уже отреагировал снижением на Aevo. AEVO сегодня торгуется примерно по 0,041 доллара за токен, с падением на 7% за 7 дней и рыночной капитализацией в 37,7 миллиона долларов при обращающемся предложении 915,8 миллиона. Эта цена на 98,9% ниже исторического максимума 3,86 доллара от 28 марта 2024 года.
Цена Aevo за 7 дней | Источник: CoinMarketCap
Оценочная стоимость протокола теперь близка к on‑chain TVL примерно в 28,2 миллиона долларов, что сужает пространство для ошибок, когда DAO социализирует убыток хранилища в 32%, но обещает компенсацию только до 19%.
Реакция сообщества на план восстановления Ribbon
Реакция сообщества на условия компенсации в 19% стала враждебной в социальных сетях и вторичных публикациях.
это просто ужасно, вы не можете просто забирать деньги с неактивных счетов. что не так с этой индустрией
— 0xCommodity (@0xCommodity) 14 декабря 2025
Комментаторы утверждают, что ранние вкладчики Ribbon, которые оставили активы в устаревших DOV-хранилищах на основании прежних заверений, теперь теряют более 80%. В то же время Aevo продолжает работу своей основной биржи деривативов и L2-стека без изменений.
"…счета с наибольшими депозитами неактивны последние 2–4 года, и весьма вероятно, что многие из них вообще не будут выводить средства."
Люди до сих пор выводят средства из Saffron V1 с 2020 года. Вы не можете просто украсть деньги, потому что они были внесены давно. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 декабря 2025
Пользователи также сообщают, что некоторые ветки обсуждений были удалены, а комментирование постов Aevo теперь доступно только для проверенных аккаунтов и тех, кого ранее упоминал Aevo. Компания направляет пользователей к официальному процессу подачи заявок, а не к открытому обсуждению.
С институциональной точки зрения сам эксплойт выглядит как классическая ошибка конфигурации оракула. Тем не менее, реакция напоминает предыдущие стрессовые эпизоды вокруг Mango, Euler и других, когда техническое решение находилось быстрее, чем социальное.
Деск, который проводит крупные сделки через Aevo, теперь должен учитывать не только риск смарт-контракта, но и риски управления и социального слоя в любом продукте хранилища с брендом Ribbon, поскольку DAO установил прецедент, что убытки по старым линиям хранилищ могут быть покрыты лишь частично, даже если основная торговая площадка и токен продолжают функционировать.
