A Ribbon Finance, anteriormente conhecida como Aevo, perdeu US$ 2,7 milhões em um ataque hacker DeFi

Um ataque sofisticado à Ribbon Finance, empresa que passou por um rebranding da Aevo, drenou US$ 2,7 milhões de seu antigotrace transferiu o dinheiro para quinze endereços de carteira diferentes, alguns dos quais já foram consolidados em contas maiores. 

Segundo diversos investigadores de blockchain na plataforma social X, o ataque ocorreu apenas seis dias após a plataforma ter atualizado sua infraestrutura de oráculos e procedimentos de criação de opções. Os atacantes utilizaram um prompt detracinteligente paratraccentenas de tokens Ethereum e outros ativos digitais.

O antigo contrato trac @ribbonfinance foi liquidado num total de 2,7 milhões de dólares.

tracde exploração: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE

Endereços roubados:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS

— Specter (@SpecterAnalyst) 12 de dezembro de 2025

Em uma discussão explicando a exploração, o analista de segurança da Web3, Liyi Zhou, disse que um trac malicioso manipulou a pilha de oráculos Opyn/Ribbon abusando de proxies de feed de preços e inseriu preços de expiração arbitrários para wstETH, AAVE , LINK e WBTC no oráculo compartilhado em um horário de expiração comum.

“O atacante abriu grandes posições vendidas em oToken contra o MarginPool da Ribbon Finance, que usou esses preços de vencimento falsificados em seu pipeline de liquidação e transferiu centenas de WETH e wstETH, milhares de USDC e vários WBTC para endereços roubados por meio de transações de resgate e resgateTo”, explicou Zhou.

A atualização de preços do oráculo da Ribbon Finance apresentou fragilidades.

Seis dias antes do ataque, a equipe da Ribbon Finance atualizou o precificador do oráculo para suportar 18 casas decimais para stETH, PAXG, LINK e AAVE . No entanto, outros ativos, incluindo USDC, ainda estavam com oito casas decimais e, de acordo com Zhou, a discrepância na precisão decimal contribuiu para a vulnerabilidade que foi explorada na sexta-feira.

O ataque mais recente ao @ribbonfinance parece ser uma falha de configuração do Oracle.

Há 6 dias, os proprietários atualizaram o precificador do oráculo, que agora utiliza 18 casas decimais para stETH, PAXG, LINK e AAVE. No entanto, outros ativos, como o USDC, ainda estão com 8 casas decimais.

A criação do OToken não é uma… pic.twitter.com/4cpZUNTNun

-Weilin (William) Li (@ hklst4r) 13 de dezembro de 2025

Segundo um desenvolvedor pseudônimo que usa o nome de usuário Weilin no servidor X, a criação dos próprios oTokens não era ilegal, pois cada token subjacente deve ser aprovado em uma lista de permissões antes de ser usado como garantia ou ativo de execução, um procedimento que o atacante seguiu à risca.

A atividade maliciosa começou com a criação de produtos de opções mal estruturados, onde um produto consistia em uma opção de compra stETH com preço de exercício de 3.800 USDC, lastreada em WETH, com vencimento em 12 de dezembro. O atacante então criou vários oTokens para essas opções, que foram posteriormente explorados para drenar o protocolo.

O ataque envolveu interações repetidas com otracde administração do proxy em 0x9D7b…8ae6B76. Algumas funções, como transferOwnership e setImplementation, foram usadas para manipular os proxies de feed de preços por meio de chamadas de delegação. O hacker invocou uma implementação do oráculo para definir os preços de vencimento dos ativos no mesmo timestamp, causando eventos ExpiryPriceUpdated que confirmaram as avaliações fraudulentas.

Os preços manipulados fizeram com que o sistema reconhecesse o stETH como estando muito acima do preço de exercício e queimasse 225 oTokens, gerando 22,468662541163160869 WETH. No total, o hackertracaproximadamente 900 ETH por meio desse método.

A empresa de segurança Web3 Spectre detectou as transferências iniciais para um endereço de carteira em 0x354ad…9a355e, mas a partir daí, o dinheiro foi distribuído para mais 14 contas, muitas delas com cerca de 100,1 ETH cada. Parte dos fundos roubados já entrou no que Zhou, da área de blockchain, chamou de "TC" ou pools de consolidação de tesouraria.

Construtora de protocolo de empréstimo DeFi : Opyn dApp não foi comprometida 

Segundo Anton Cheng, desenvolvedor da Monarch DeFi , o aplicativo descentralizado Opyn, apoiado pela Coinbase, não foi comprometido, ao contrário do que foi especulado em conversas no Twitter dedicado a criptomoedas.

Dei uma olhada no hack do Ribbon, já que eu poderia ser o responsável. Eis o que descobri até agora:

1. O @opyn_ não foi hackeado; na verdade, é um fork do @ribbonfinance_ .
2. O ataque foi desencadeado principalmente por uma atualização no código do oráculo que permitia a qualquer pessoa definir preços para novos ativos.

Isto, quando… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP

-Anton Cheng (@antonttc) 13 de dezembro de 2025

Cheng explicou que o ataque à Ribbon Finance foi facilitado por um código de oráculo atualizado que, inadvertidamente, permitiu que qualquer usuário definisse preços para ativos recém-adicionados. Ele indicou que o ataque começou com uma transação preparatória para "preparar o terreno", gerando oTokens mal estruturados com garantias legítimas e ativos de referência. Ele continuou dizendo que os tokens falsos permitiram que o hacker escolhesse ativos subjacentes conhecidos, como AAVE para evitar chamar a atenção e ser sinalizado. 

O hacker então configurou três “subcontas”, cada uma depositando uma garantia mínima para gerar as três opções. Todas as subcontas foram marcadas como tipo 0, o que significa que estavam totalmente garantidas, mas a ausência de um limite máximo de saque para cada conta ou oToken permitiu que o criminoso drenasse os ativos sem quaisquer restrições.

Nos sistemas Gamma da Opyn, o ativo subjacente deve corresponder à garantia para opções de compra e ao preço de exercício para opções de venda, a fim de manter os vendedores totalmente protegidos. Se um oráculo for comprometido, apenas os vendedores daquele produto específico serão afetados.

Neste caso, porém, a combinação da criação de um novo oToken e do oráculo manipulado foi suficiente para contornar essas proteções.

Seja visto onde importa. Anuncie na Cryptopolitan Research e alcance os investidores e criadores mais experientes em criptomoedas.