Ribbon Finance（前身为 Aevo）在 DeFi 黑客攻击中损失 270 万美元

针对 Aevo 更名后的 Ribbon Finance 的一次精心策划的攻击，从其旧trac中窃取了 270 万美元，并将资金转移到 15 个不同的钱包地址，其中一些钱包地址已被合并到更大的账户中。 

据社交平台 X 上的几位区块链调查员称，此次攻击发生在该平台升级其预言机基础设施和期权创建流程仅六天后。攻击者利用智能trac提示trac了数百枚 Ethereum 币和其他数字资产。

@ribbonfinance的旧合同trac被提取，总额达 270 万美元。

利用trac：0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE

盗窃地址：
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS

— Specter (@SpecterAnalyst) 2025年12月12日

在解释该漏洞的帖子中，Web3 安全分析师 Liyi Zhou 表示，恶意合同trac操纵Opyn/Ribbon 预言机堆栈，并将 wstETH、 AAVE 、LINK 和 WBTC 的任意到期价格推送到共享预言机中，并设置了共同的到期时间戳。

周解释说：“攻击者在 Ribbon Finance 的 MarginPool 上建立了大量的 oToken 空头头寸，Ribbon Finance 在其结算管道中使用这些伪造的到期价格，并通过赎回和赎回到交易将数百个 WETH 和 wstETH、数千个 USDC 以及几个 WBTC 转移到被盗地址。”

Ribbon Finance对Oracle股票价格的上调存在不足之处

在攻击发生前六天，Ribbon Finance 团队更新了预言机定价器，以支持 stETH、PAXG、LINK 和AAVE。然而，包括 USDC 在内的其他资产仍然只有 8 位小数。据周先生称，小数精度上的差异导致了周五被利用的漏洞。

最近@ribbonfinance遭受的攻击似乎是 Oracle 配置错误导致的。

6天前，开发者更新了预言机定价器，stETH、PAXG、LINK和 AAVE的价格精确到小数点后18位。然而，其他资产（例如USDC）的价格仍然精确到小数点后8位。

OToken 的创建并非…… pic.twitter.com/4cpZUNTNun

- 李伟林 (@hklst4r) 2025 年 12 月 13 日

据一位在 X 论坛上使用 Weilin 用户名的匿名开发者称，创建 oToken 本身并不违法，因为每个底层代币在用作抵押品或打击资产之前都必须被列入白名单，攻击者严格遵守了这一程序。

恶意活动始于创建结构不良的期权产品，其中一款产品是 stETH 看涨期权，行权价为 3,800 USDC，以 WETH 为抵押，到期日为 12 月 12 日。攻击者随后为这些期权创建了多个 oToken，这些 oToken 后来被利用来耗尽协议资金。

此次攻击涉及与地址为 0x9D7b…8ae6B76 的代理管理trac进行多次交互。攻击者利用诸如 transferOwnership 和 setImplementation 等函数，通过委托调用操纵价格信息代理。此外，攻击者还调用了预言机的实现，将资产到期价格设置为相同的时间戳，从而触发 ExpiryPriceUpdated 事件，以确认虚假估值。

人为操纵的价格使系统误认为 stETH 的价格远高于行权价，并销毁了 225 个 oToken，获得了 22.468662541163160869 个 WETH。黑客总共通过这种方法trac了约 900 个 ETH。

Web3 安全公司 Spectre 检测到最初的资金转入地址为 0x354ad…9a355e 的钱包，但随后资金被分散到另外 14 个账户，其中许多账户持有约 100.1 个 ETH。部分被盗资金已经进入了区块链开发者 Zhou 所说的“TC”（资金池）或“国库整合池”。

DeFi 借贷协议构建者：Opyn dApp未被攻破 

据 Monarch DeFi 开发者 Anton Cheng 称，Coinbase 支持的去中心化应用程序 Opyn 并未像加密货币推特上的传言那样遭到入侵。

我查看了 Ribbon hack，因为我可能对此负有责任。以下是我目前发现的情况：

1. @opyn_没有被黑客攻击；它实际上是@ribbonfinance_。2
. 这次黑客攻击主要是由升级后的预言机代码引发的，该代码允许任何人为新资产设定价格。

这件事发生的时候…… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP

— 郑安东 (@antonttc) 2025 年 12 月 13 日

程解释说，Ribbon Finance 的黑客攻击是由升级后的预言机代码促成的，该代码无意中允许任何用户为新添加的资产设定价格。他指出，攻击始于一笔准备交易，通过生成结构不良的 oToken 代币来“铺垫”，这些代币使用合法的抵押品和执行资产。他还表示，这些虚假代币使黑客能够选择像 AAVE 这样知名的底层资产，从而避免引起注意和被标记。 

黑客随后设立了三个“子账户”，每个账户都存入少量抵押品以铸造所有三种期权。所有子账户都被标记为0型，这意味着它们已全额抵押，但由于每个账户或oToken没有最高支付限额，使得犯罪分子能够不受任何限制地盗取资产。

在Opyn的Gamma系统中，标的资产必须与看涨期权的抵押品或看跌期权的行权价相匹配，以确保卖方拥有充足的抵押品。如果预言机遭到破坏，只有该特定产品的卖方才会受到损失。

然而，在这种情况下，新 oToken 的创建和被操纵的预言机的结合足以绕过这些保护措施。

在重要的地方获得关注。在 Cryptopolitan Research 上投放广告，接触加密货币领域最敏锐的投资者和建设者。