Catatan Utama
- Vault Ribbon DOV warisan Aevo kehilangan $2,7 juta pada 12 Desember setelah pembaruan oracle memperkenalkan kerentanan smart contract.
- Semua vault Ribbon dinonaktifkan secara permanen dan jendela klaim selama enam bulan berlangsung hingga 12 Juni 2026.
- DAO akan melikuidasi aset yang tersisa dan memberikan kompensasi kepada pengguna hingga 19% dari jumlah yang hilang.
Aevo, platform derivatif yang dibangun oleh mantan tim Ribbon Finance, mengonfirmasi kerugian sebesar $2,7 juta dari vault Ribbon DOV warisan mereka setelah pembaruan smart contract terkait oracle pada 12 Desember.
Kami menyesal mengonfirmasi bahwa vault Ribbon DOV warisan telah dieksploitasi kemarin setelah adanya kerentanan dalam pembaruan smart contract, yang mengakibatkan kerugian sekitar $2,7 juta USD.
Kami segera mengambil tindakan untuk mengidentifikasi akar masalah dan berkoordinasi dengan CEX dan…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 Desember 2025
Tak lama setelah itu, tim proyek menyampaikan bahwa Aevo akan menonaktifkan semua vault Ribbon secara permanen dan menjalankan proses pemulihan terbatas untuk pengguna yang terdampak. Mereka menjelaskan bahwa vault Ribbon DOV lama diretas pada 12 Desember akibat kerentanan smart contract dalam pembaruan terbaru, yang menyebabkan kerugian sebesar $2,7 juta.
Akibatnya, semua vault Ribbon dihentikan dan akan segera dinonaktifkan secara permanen, dengan jendela klaim selama enam bulan hingga 12 Juni 2026. Postingan tersebut menambahkan bahwa DAO akan melikuidasi aset yang tersisa untuk memberikan kompensasi kepada pengguna “hingga 19% dari jumlah yang hilang atau saldo yang tersisa,” mana yang lebih rendah.
Kami memiliki pembaruan terkait eksploitasi Ribbon DOV warisan, khususnya langkah selanjutnya yang kami usulkan untuk deposan vault yang terdampak.
Jika Anda memiliki posisi aktif di vault Ribbon, harap baca dengan seksama, karena tindakan akan diperlukan dari pihak Anda.
Semua vault Ribbon telah dihentikan dan…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 Desember 2025
Bagaimana peretasan vault Ribbon sebenarnya terjadi
Penyelidik blockchain merekonstruksi jalur serangan menggunakan kontrak eksploit di 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE dan setidaknya 15 alamat penerima yang pertama kali ditandai oleh analis on-chain Specter di X. Specter menulis bahwa “kontrak lama @ribbonfinance telah dikuras total $2,7 juta,” mencantumkan alamat pencurian yang menerima dana [NC] dan stablecoin yang dikuras.
Kontrak lama @ribbonfinance telah dikuras total $2,7 juta.
Kontrak eksploit: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Alamat pencurian:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 Desember 2025
Analisis keamanan dari berbagai pihak sepakat bahwa penyerang menyalahgunakan oracle proxy admin untuk mengirimkan harga expiry sembarangan untuk wstETH, AAVE, [NC], dan aset dasar lainnya, lalu menyelesaikan posisi oToken terhadap MarginPool Ribbon untuk menarik aset dari vault.
Analisis pasca kejadian menunjukkan adanya bug ketidakcocokan desimal yang diperkenalkan enam hari sebelumnya, ketika Ribbon memperbarui oracle pricer ke feed 18 desimal untuk stETH, PAXG, LINK, dan AAVE, sementara USDC tetap pada delapan desimal. Peneliti keamanan Web3, Weilin, menyoroti bahwa konfigurasi ini memungkinkan pemalsuan harga expiry pada timestamp yang sama di berbagai aset, yang kemudian dianggap valid oleh pipeline settlement untuk posisi short oToken yang menonjol. Dana kini tersebar di 15 alamat asli dan beberapa dompet konsolidasi, tanpa negosiasi pemulihan publik dari penyerang.
Serangan terbaru @ribbonfinance tampaknya disebabkan oleh kesalahan konfigurasi oracle.
Enam hari lalu, pemilik memperbarui oracle pricer yang menggunakan harga 18 desimal untuk stETH, PAXG, LINK, dan AAVE. Namun, aset lain seperti USDC masih menggunakan 8 desimal.
Pembuatan OToken bukanlah… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 Desember 2025
Harga Aevo bereaksi dengan penurunan
Pasar telah menandai Aevo turun. AEVO diperdagangkan sekitar $0,041 per token hari ini, dengan penurunan 7% dalam 7 hari dan kapitalisasi pasar sebesar $37,7 juta pada suplai beredar 915,8 juta. Harga tersebut 98,9% di bawah all-time high pada 28 Maret 2024 sebesar $3,86.
Harga Aevo dalam 7 hari | Sumber: CoinMarketCap
Nilai protokol tersirat kini mendekati TVL on-chain sekitar $28,2 juta, yang memperkecil margin kesalahan ketika DAO mensosialisasikan kerugian vault sebesar 32% namun hanya menjanjikan penggantian hingga 19%.
Reaksi balik komunitas atas rencana pemulihan Ribbon
Reaksi komunitas terhadap ketentuan pemulihan sebesar 19% menjadi sangat negatif di berbagai saluran sosial dan laporan sekunder.
ini benar-benar kacau, kamu tidak bisa begitu saja mengambil uang dari akun yang tidak aktif. ada apa dengan industri ini
— 0xCommodity (@0xCommodity) 14 Desember 2025
Para komentator berpendapat bahwa deposan awal Ribbon, yang meninggalkan aset di vault DOV yang sudah tidak digunakan berdasarkan jaminan sebelumnya, kini harus menanggung kerugian lebih dari 80%. Pada saat yang sama, Aevo terus menjalankan bursa derivatif utama dan stack L2 mereka tanpa terpengaruh.
"…akun dengan deposit terbesar telah tidak aktif selama 2–4 tahun terakhir, dan sangat mungkin banyak dari mereka tidak akan menarik sama sekali."
Orang-orang masih menarik dana dari Saffron V1 sejak 2020. Kamu tidak bisa mencuri uang hanya karena sudah lama disimpan. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 Desember 2025
Pengguna juga melaporkan bahwa beberapa thread telah dihapus, dan bahwa komentar pada postingan Aevo kini dibatasi hanya untuk akun terverifikasi dan yang sebelumnya disebutkan oleh Aevo. Perusahaan mengarahkan pengguna ke proses klaim formal daripada debat terbuka.
Dari sudut pandang institusional, eksploitasi ini sendiri tampak seperti kegagalan konfigurasi oracle yang klasik. Namun, responsnya mencerminkan episode stres sebelumnya di Mango, Euler, dan lainnya, di mana perbaikan teknis datang lebih cepat daripada penyelesaian sosialnya.
Meja perdagangan yang menyalurkan volume melalui Aevo kini harus mempertimbangkan tidak hanya risiko smart contract, tetapi juga risiko tata kelola dan lapisan sosial dalam produk vault apa pun yang membawa merek warisan Ribbon, karena DAO telah menetapkan preseden bahwa kerugian pada lini vault lama dapat diselesaikan hanya sebagian dari nilai nominal meskipun platform perdagangan inti dan token tetap aktif.
