Pangunahing Tala
- Nawalan ang legacy Ribbon DOV vaults ng Aevo ng $2.7 milyon noong Disyembre 12 matapos magdulot ng smart contract vulnerability ang isang oracle upgrade.
- Permanente nang hindi magagamit ang lahat ng Ribbon vaults at may anim na buwang panahon ng pag-aangkin hanggang Hunyo 12, 2026.
- Ililiquidate ng DAO ang natitirang mga asset at bibigyan ng kompensasyon ang mga user ng hanggang 19% ng nawawalang halaga.
Kumpirmado ng Aevo, ang derivatives venue na binuo ng dating Ribbon Finance team, ang pagkawala ng $2.7 milyon mula sa legacy Ribbon DOV vaults nito matapos ang isang oracle-related smart contract upgrade noong Disyembre 12.
Ikinakalungkot naming kumpirmahin na na-exploit kahapon ang legacy Ribbon DOV vaults kasunod ng isang vulnerability sa smart contract update, na nagresulta sa pagkawala ng humigit-kumulang $2.7M USD.
Agad kaming kumilos upang tukuyin ang ugat ng problema at nakikipag-ugnayan kami sa mga CEXs at…
— Aevo (fka Ribbon Finance) (@ribbonfinance) Disyembre 13, 2025
Pagkatapos nito, ipinabatid ng project team na permanenteng idi-disable ng Aevo ang lahat ng Ribbon vaults at magsasagawa ng limitadong recovery process para sa mga apektadong user. Ipinaliwanag nila na na-hack ang lumang Ribbon DOV vault noong Disyembre 12 dahil sa smart contract vulnerabilities sa isang kamakailang update, na nagdulot ng pagkawala ng $2.7 milyon.
Bilang resulta, lahat ng Ribbon vaults ay na-pause at malapit nang permanenteng hindi magamit, na may anim na buwang panahon ng pag-aangkin hanggang Hunyo 12, 2026. Dagdag pa ng post na ililiquidate ng DAO ang natitirang mga asset upang bigyan ng kompensasyon ang mga user “hanggang 19% ng nawawalang halaga o ang natitirang balanse,” alinman ang mas mababa.
May update kami tungkol sa legacy Ribbon DOVs exploit, partikular sa mga susunod na hakbang na aming iminumungkahi para sa mga naapektuhang vault depositors.
Kung may aktibo kang Ribbon vault position, pakibasa nang mabuti dahil kailangan mong kumilos.
Lahat ng Ribbon vaults ay na-stop at…
— Aevo (fka Ribbon Finance) (@ribbonfinance) Disyembre 14, 2025
Paano Nangyari ang Pag-hack sa Ribbon Vault
Inirekonstrak ng mga blockchain investigator ang landas ng pag-atake gamit ang exploit contract sa 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE at hindi bababa sa 15 recipient addresses na unang tinukoy ng on-chain analyst na si Specter sa X. Isinulat ni Specter na “ang lumang kontrata ng @ribbonfinance ay na-drain ng kabuuang $2.7M,” at inilista ang mga address ng pagnanakaw na tumanggap ng drained [NC] at stablecoins.
Ang lumang kontrata ng @ribbonfinance ay na-drain ng kabuuang $2.7M.
Exploit contract: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Theft addresses:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) Disyembre 12, 2025
Nagkakaisa ang mga security write-up mula sa iba’t ibang venues na inabuso ng attacker ang oracle proxy admin upang magsumite ng arbitrary expiry prices para sa wstETH, AAVE, [NC], at iba pang underlyings, pagkatapos ay isinara ang oToken positions laban sa Ribbon’s MarginPool upang hilahin ang mga asset mula sa mga vault.
Ipinapakita ng mga post-mortem na may decimal-mismatch bug na naidulot anim na araw bago ang insidente, nang i-update ng Ribbon ang oracle pricer sa 18-decimal feeds para sa stETH, PAXG, LINK, at AAVE habang nanatili ang USDC sa walong decimals. Binanggit ng Web3 security researcher na si Weilin na pinayagan ng configuration na ito ang paggawa ng forged expiry prices sa isang shared timestamp sa iba’t ibang asset, na tinrato ng settlement pipeline bilang valid para sa prominenteng short oToken positions. Ang mga pondo ay kasalukuyang nakakalat sa orihinal na 15 address at ilang consolidation wallets, na walang pampublikong negosasyon para sa recovery mula sa attacker.
Ang pinakabagong pag-atake sa @ribbonfinance ay tila sanhi ng oracle configuration fault.
Anim na araw na ang nakalipas, in-update ng mga may-ari ang oracle pricer na gumagamit ng 18 decimals price para sa stETH, PAXG, LINK at AAVE. Gayunpaman, ang ibang asset tulad ng USDC ay nanatiling 8 decimals.
Ang paglikha ng OToken ay hindi isang… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) Disyembre 13, 2025
Bagsak ang Presyo ng Aevo
Agad na bumaba ang halaga ng Aevo sa merkado. Ang AEVO ay nagte-trade sa humigit-kumulang $0.041 kada token ngayon, na may 7-araw na pagbaba ng 7% at market cap na $37.7 milyon sa circulating supply na 915.8 milyon. Ang presyong ito ay 98.9% na mas mababa kaysa all-time high noong Marso 28, 2024 na $3.86.
Aevo presyo sa loob ng 7 araw | Source: CoinMarketCap
Ang implied protocol value ay halos katumbas na ngayon ng on-chain TVL na nasa $28.2 milyon, na nagpapaliit ng margin for error kapag isinapubliko ng DAO ang 32% vault loss ngunit hanggang 19% lang ang ipinapangakong reimbursement.
Pagbatikos ng Komunidad sa Recovery Plan ng Ribbon
Naging agresibo ang reaksyon ng komunidad sa recovery terms na 19% sa iba’t ibang social channels at mga ulat.
sobrang mali nito, hindi mo pwedeng basta kunin ang pera mula sa dormant accounts. anong problema ng industriyang ito
— 0xCommodity (@0xCommodity) Disyembre 14, 2025
Iginiit ng mga nagkokomento na ang mga maagang Ribbon depositors, na nag-iwan ng asset sa deprecated DOV vaults batay sa dating mga pangako, ay ngayon ay makakaranas ng higit 80% na pagkawala. Samantala, patuloy pa rin ang Aevo sa pagpapatakbo ng pangunahing derivatives exchange at L2 stack nito nang hindi apektado.
"…ang mga account na may pinakamalalaking deposito ay naging dormant sa nakalipas na 2–4 na taon, at malamang na marami sa kanila ay hindi na magwi-withdraw."
Patuloy pa ring may nagwi-withdraw mula sa Saffron V1 mula 2020. Hindi mo pwedeng basta nakawin ang pera dahil matagal na itong naka-deposito. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) Disyembre 14, 2025
Ipinapahayag din ng mga user na may ilang thread na binura, at ang pagkomento sa mga post ng Aevo ay limitado na lamang sa mga verified accounts at sa mga nabanggit na dati ng Aevo. Itinuturo ng kumpanya ang mga user sa pormal na claims process sa halip na sa bukas na diskusyon.
Mula sa institutional na pananaw, ang exploit mismo ay isang textbook oracle-config failure. Gayunpaman, ang tugon ay kahalintulad ng mga naunang stress episodes sa Mango, Euler, at iba pa, kung saan mas mabilis na naayos ang teknikal na problema kaysa sa panlipunang isyu.
Ang isang desk na nagra-route ng laki sa Aevo ay kailangang isaalang-alang hindi lang ang smart contract risk, kundi pati na rin ang governance at social-layer risk sa anumang vault product na may Ribbon legacy brand, dahil nagtakda na ang DAO ng precedent na ang mga pagkalugi sa lumang vault lines ay maaaring bayaran sa maliit na bahagi ng face value kahit aktibo pa ang core trading venue at token.
