Ribbon Finance, anteriormente Aevo, pierde 2,7 millones de dólares en un ataque DeFi

Un sofisticado ataque a Ribbon Finance, la nueva marca de Aevo, drenó 2,7 millones de dólares de su antiguotracy los trasladó a quince direcciones de billetera separadas, algunas de las cuales ya se han consolidado en cuentas más grandes. 

Según varios investigadores de blockchain en la plataforma social X, el ataque ocurrió tan solo seis días después de que la plataforma actualizara su infraestructura de oráculos y sus procedimientos de creación de opciones. Utilizaron un aviso detracinteligente paratraccientos de tokens Ethereum y otros activos digitales.

El antiguo contrato trac @ribbonfinance ha sido rescindido por un total de $2,7 millones.

tracde explotación: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE

Direcciones robadas:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS

— Specter (@SpecterAnalyst) 12 de diciembre de 2025

En un hilo que explica el exploit, el analista de seguridad de Web3, Liyi Zhou, dijo que un trac malicioso manipuló la pila de oráculos Opyn/Ribbon abusando de los proxies de alimentación de precios e impulsó precios de vencimiento arbitrarios para wstETH, AAVE , LINK y WBTC en el oráculo compartido en una marca de tiempo de vencimiento común.

“El atacante colocó grandes posiciones cortas de oToken contra MarginPool de Ribbon Finance, que utilizó estos precios de vencimiento falsificados en su canal de liquidación y transfirió cientos de WETH y wstETH, miles de USDC y varios WBTC a direcciones robadas a través de transacciones de canje y redención”, explicó Zhou.

La mejora del precio del oráculo de Ribbon Finance tenía debilidades

Seis días antes del ataque, el equipo de Ribbon Finance actualizó el sistema de precios de oráculos para que admitiera 18 decimales para stETH, PAXG, LINK y AAVE . Sin embargo, otros activos, como USDC, seguían con ocho decimales y, según Zhou, la discrepancia en la precisión decimal contribuyó a la vulnerabilidad explotada el viernes.

El último a @ribbonfinance parece ser un error de configuración de Oracle.

Hace 6 días, los propietarios actualizaron el sistema de precios del oráculo, que utiliza precios de 18 decimales para stETH, PAXG, LINK y AAVE. Sin embargo, el precio de otros activos, como el USDC, sigue en 8 decimales.

La creación de OToken no es una… pic.twitter.com/4cpZUNTNun

- Weilin (William) Li (@ hklst4r) 13 de diciembre de 2025

Según un desarrollador seudónimo que usa el nombre de usuario Weilin en X, la creación de oTokens en sí no era ilegal porque cada token subyacente debe estar en la lista blanca antes de ser utilizado como garantía o activo de ataque, un procedimiento que el atacante siguió al pie de la letra.

La actividad maliciosa comenzó con la creación de productos de opciones mal estructurados, donde un producto consistía en una opción de compra de stETH con un strike de 3.800 USDC, colateralizada con WETH, con vencimiento el 12 de diciembre. El atacante luego creó varios oTokens para estas opciones, que luego fueron explotados para drenar el protocolo.

El ataque implicó interacciones repetidas con eltracde administración del proxy en 0x9D7b…8ae6B76. Se utilizaron funciones como transferOwnership y setImplementation para manipular los proxies de alimentación de precios mediante llamadas de delegado. El hacker invocó una implementación para que el oráculo estableciera los precios de vencimiento de los activos en la misma fecha y generara eventos ExpiryPriceUpdated que confirmaran las valoraciones fraudulentas.

Los precios manipulados hicieron que el sistema reconociera que stETH estaba muy por encima del precio de ejercicio y quemó 225 oTokens, generando 22.468662541163160869 WETH. En total, el hackertracaproximadamente 900 ETH mediante este método.

La firma de seguridad Web3, Spectre, detectó las transferencias iniciales a una dirección de billetera en 0x354ad…9a355e, pero desde allí, el dinero se distribuyó a 14 cuentas más, muchas de las cuales contenían alrededor de 100,1 ETH cada una. Algunos de los fondos robados ya han ingresado a lo que Zhou, de la blockchain, denominó "TC" o fondos de consolidación de tesorería.

Creador de protocolos de préstamos DeFi : La dApp de Opyn no se vio comprometida 

Según el desarrollador de Monarch DeFi Anton Cheng, la aplicación descentralizada Opyn, respaldada por Coinbase, no se vio comprometida como se rumoreaba en las conversaciones en Crypto Twitter.

Le eché un vistazo al truco de Ribbon, ya que podría ser el responsable. Esto es lo que he encontrado hasta ahora:

1. @opyn_ no fue hackeado; en realidad es una bifurcación de @ribbonfinance_ .
2. El hackeo fue provocado principalmente por un código de oráculo actualizado que permitía a cualquiera establecer precios para nuevos activos.

Esto, cuando… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP

– Anton Cheng (@antonttc) 13 de diciembre de 2025

Cheng explicó que el hackeo de Ribbon Finance se vio facilitado por un código oracular actualizado que, sin darse cuenta, permitía a cualquier usuario fijar precios para los activos recién añadidos. Destacó que el ataque comenzó con una transacción preparatoria para "preparar el terreno" generando oTokens mal estructurados con garantías legítimas y activos de strike. Continuó afirmando que los tokens falsos permitieron al hacker seleccionar subyacentes conocidos como AAVE para evitar ser detectado. 

El hacker creó tres "subcuentas", cada una con una garantía mínima para generar las tres opciones. Todas las subcuentas estaban marcadas como tipo 0, lo que significa que estaban completamente garantizadas, pero la ausencia de un límite máximo de pago para cada cuenta u oToken le permitió vaciar activos sin restricciones.

Bajo los sistemas Gamma de Opyn, el activo subyacente debe coincidir con la garantía de las opciones de compra y el precio de ejercicio de las opciones de venta para mantener a los vendedores completamente asegurados. Si un oráculo se ve comprometido, solo los vendedores de ese producto específico se verán afectados.

Sin embargo, en este caso, la combinación de la creación del nuevo oToken y el oráculo manipulado fueron suficientes para eludir estas protecciones.

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.