Криптобиржа деривативов Aevo, ранее известная как Ribbon Finance, стала жертвой эксплойта, в результате которого злоумышленники похитили около $2,7 млн. Инцидент произошел 12 декабря и был связан с уязвимостью, возникшей после обновления инфраструктуры оракула — внешнего источника данных, предоставляющего информацию о ценах для смарт-контрактов.
Атака была направлена на устаревшие смарт-контракты Ribbon Finance, а именно на их DeFi Options Vaults (DOV) — структурированные продукты, которые в период расцвета DeFi управляли активами на сумму свыше $300 млн. Эти валюты оставались активными в сети Ethereum, несмотря на ребрендинг проекта в Aevo в 2023 году. Команда Aevo подчеркнула, что основная биржа на втором уровне (Layer 2) не пострадала.
Исследователи безопасности, включая Лии Чжоу и Антона Ченга из Monarch DeFi, детализировали механизм атаки. Злоумышленник воспользовался обновлением кода оракула, внедренным 6 декабря, которое, по словам Ченга, «позволило любому устанавливать цены для новых активов». Атакующий манипулировал прокси-серверами, передающими ценовые данные (price-feed proxies) в стеке оракулов Opyn/Ribbon, и ввел произвольные цены экспирации для активов wstETH, AAVE, LINK и WBTC с общим временным штампом. Это создало ложные рыночные условия и позволило вывести средства.
Аналитик Specter первым сообщил о подозрительных оттоках, отследив контракт эксплойта и начальные кошельки. Похищенные средства, включая сотни ETH и значительные суммы USDC, были распределены по 15 отдельным адресам.
В ответ на инцидент Aevo приняла ряд мер. Все Ribbon vaults были остановлены и будут выведены из эксплуатации. Команда предложила схему компенсации для пострадавших пользователей. Несмотря на то что фактические потери валют составили около 32%, для активных пользователей, которые выведут средства в течение шестимесячного окна (с 12 декабря по 12 июня), предлагается сокращение позиции всего на 19%.
Это стало возможным по двум причинам. Во-первых, децентрализованная автономная организация (DAO) проекта откажется от своих собственных позиций в валютах (примерно на $400 000), чтобы частично покрыть ущерб, сократив чистые потери до $2,3 млн. Во-вторых, команда предполагает, что многие крупные держатели, чьи аккаунты неактивны в течение последних 2–4 лет, не станут выводить средства. «Мы предлагаем расставить приоритеты в пользу активных пользователей, предоставив им меньшее сокращение авансом», — заявили в Aevo. Также было отмечено, что DAO никогда не предлагала страховку по депозитам.
Этот случай вновь высветил одну из ключевых проблем DeFi — уязвимость оракулов. Ранее в этом году протокол Venus на ZKsync потерял $717 000 в результате схожей атаки с манипуляцией ценами. Инцидент с Aevo служит напоминанием о критической важности безопасности внешних источников данных для всей экосистемы децентрализованных финансов.
