📌 Le coffre-fort de la finance décentralisée d’Aevo a perdu 2,7 millions de dollars à la suite d’une mise à jour d’Oracle The Block Un coffre-fort d’options de la finance décentralisée (DeFi) de Ribbon Finance, qui a changé de nom pour devenir Aevo en 2023, a subi une perte d’environ 2,7 millions de dollars le 12 décembre dernier.
Les experts en cybersécurité ont déterminé que la vulnérabilité était due à une mise à jour d’Oracle du 6 décembre, qui permettait par erreur à n’importe qui de fixer des prix pour les instruments nouvellement ajoutés.
L’attaquant a transféré les fonds volés, principalement des ETH et des stablecoins, vers 15 portefeuilles différents.
Contrats intelligents vulnérables Ribbon Finance, un héritage de l’ancienne marque Aevo, a été attaqué pour environ 2,7 millions de dollars le 12 décembre, selon des chercheurs en blockchain, après qu’une mise à jour de leur infrastructure Oracle a permis de manipuler les prix.
L’attaque visait les trésors DeFi Options Vault (DOV) de Ribbon, des produits structurés dont la valeur globale était supérieure à 300 millions de dollars, gelés au plus fort de la crise DeFi. Ces coffres-forts sont restés actifs sur le réseau Ethereum malgré le passage de Ribbon Finance à la bourse de produits dérivés Aevo en 2023. L’équipe a indiqué que le cœur de la bourse Aevo Tier 2 n’a pas été affecté.
Specter, analyste de la blockchain, a été le premier à tirer la sonnette d’alarme au sujet de retraits suspects sur le réseau X, en identifiant l’adresse du contrat qui a utilisé l’exploit et les portefeuilles de départ pour les retraits. L’attaquant a retiré des centaines d’ETH et des montants substantiels d’USDC avant de répartir les recettes entre 15 adresses distinctes, chacune d’entre elles se retrouvant avec environ 100 ETH.
Le spécialiste de la sécurité Liyi Zhou a fourni une analyse détaillée du problème dans X, expliquant que le pirate a manipulé l’ensemble d’oracles Opyn/Ribbon en s’appuyant sur des serveurs proxy pour soumettre des cotations. L’exploit a permis de forcer des prix d’exécution arbitraires pour wstETH, AAVE, LINK et WBTC dans un oracle commun au cours d’un même horodatage d’expiration.
Anton Cheng, de Monarch DeFi, a fait remarquer que cette faille avait été rendue possible par une mise à jour du 6 décembre du fichier oracle, qui “donnait à n’importe qui le droit de fixer le prix de nouveaux actifs”. M. Cheng a confirmé que le protocole de base d’Opyn n’était pas compromis, car ce sont les paramètres de l’oracle de Ribbon qui étaient défectueux.
Dans une déclaration officielle à X, Aevo a annoncé la fermeture complète de tous les comptes de trésorerie de Ribbon et leur liquidation immédiate. Bien que les coffres aient subi une perte d’environ 32 % , l’équipe a suggéré que le retrait des fonds n’entraîne qu’une réduction de 19 % de la valeur de la position au moment de l’incident.
Aevo a expliqué pourquoi une réduction plus faible pouvait être appliquée : tout d’abord, la DAO fera don de ses propres actions dans les chambres fortes (environ 400 000 dollars en divers actifs) pour compenser partiellement les dommages, réduisant ainsi la perte nette à 2,3 millions de dollars. Deuxièmement, l’équipe a déclaré que les plus gros déposants sont entrés en hibernation au cours des deux à quatre dernières années et ne retireront probablement pas leurs fonds du tout.
ous voulons donner la priorité aux déposants existants en leur offrant des amortissements moins élevés sur les retraits anticipés, a déclaré l’équipe. Compte tenu de la proportion attendue de “dormeurs, il est probable que les utilisateurs qui ont demandé des retraits pendant la période de candidature les recevront finalement après le règlement final, ce qui compensera le sous-paiement initial.
La période de candidature durera six mois, du 12 décembre au 12 juin. À l’issue de cette période, la DAO vendra de force les actifs restants et les distribuera aux utilisateurs qui ont demandé un retrait, couvrant ainsi les 19 % manquants ou ce qui reste disponible. L’équipe a souligné que la DAO “n’a jamais garanti ni offert d’assurance sur les dépôts.