Взлом Ribbon Finance: хакеры вывели $2,7 млн через уязвимость оракулов

Главное:

• 12 декабря хакеры воспользовались уязвимостью в системе оракулов Ribbon Finance и вывели около $2,7 млн.
• Ошибка появилась после обновления кода и позволила злоумышленнику подставлять произвольные цены активов.

12 декабря хакеры взломали смарт-контракты Ribbon Finance, которые принадлежат платформе Aevo. По данным специалистов по безопасности блокчейна, из-за ошибки в обновлении оракулов злоумышленники смогли манипулировать ценами и вывести около $2,7 млн.

Атака была направлена на опционные хранилища DeFi Ribbon (DOV). В период пика рынка DeFi в них было заблокировано более $300 млн. Несмотря на ребрендинг Ribbon Finance в 2023 году и переход проекта под Aevo, эти хранилища продолжали работать в сети Ethereum. Команда Aevo уточнила, что сама биржа второго уровня не пострадала.

Как произошел взлом и что обнаружили аналитики

Первым подозрительные транзакции заметил блокчейн-аналитик Specter. Он выявил контракт, использованный при атаке, а также кошельки, на которые выводились средства.

Источник: X.com

Хакер вывел сотни ETH и крупные суммы USDC, после чего распределил их между 15 адресами — примерно по 100 ETH на каждый.

Исследователь безопасности Лийи Чжоу объяснил, что злоумышленник воспользовался уязвимостью в системе оракулов Opyn/Ribbon. Через прокси-серверы ему удалось подставлять произвольные цены для активов wstETH, AAVE, LINK и WBTC с одинаковым сроком истечения. Это и позволило провернуть атаку.

По словам Антона Ченга из Monarch DeFi, проблема возникла после обновления кода оракула 6 декабря. Оно фактически дало возможность любому задавать цены для новых активов. При этом основной протокол Opyn взломан не был — уязвимость касалась только настроек Ribbon.

После инцидента Aevo остановила все хранилища Ribbon и объявила об их окончательном закрытии. Потери составили около 32%, однако команда предложила уменьшить сумму списаний для пользователей до 19% от стоимости их позиций на момент атаки.

Такое решение объяснили двумя причинами:

• Во-первых, DAO потеряет собственные средства в хранилищах на сумму около 400 тыс. долларов, что снизит общий ущерб до 2,3 млн.
• Во-вторых, крупные депозиты принадлежали в основном неактивным пользователям, которые не проявляли активности в течение последних двух–четырех лет.

Манипуляции с оракулами по-прежнему остаются одной из самых распространенных угроз в DeFi. Ранее пользователь платформы Venus Protocol стал жертвой фишинга и понес убытки в размере $27 млн.