Note Chiave
- I vault legacy Ribbon DOV di Aevo hanno perso 2,7 milioni di dollari il 12 dicembre dopo che un aggiornamento dell'oracolo ha introdotto una vulnerabilità nello smart contract.
- Tutti i vault Ribbon sono stati disabilitati permanentemente e una finestra di richiesta di sei mesi sarà attiva fino al 12 giugno 2026.
- La DAO liquiderà gli asset rimanenti e compenserà gli utenti fino al 19% dell'importo mancante.
Aevo, la piattaforma di derivati creata dal precedente team di Ribbon Finance, ha confermato una perdita di 2,7 milioni di dollari dai suoi vault legacy Ribbon DOV dopo un aggiornamento dello smart contract legato all'oracolo il 12 dicembre.
Siamo dispiaciuti di confermare che i vault legacy Ribbon DOV sono stati sfruttati ieri a seguito di una vulnerabilità in un aggiornamento dello smart contract, con una perdita di circa 2,7 milioni di dollari USA.
Abbiamo agito immediatamente per identificare la causa principale e stiamo coordinando con CEX e…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 dicembre 2025
Poco dopo, il team del progetto ha comunicato che Aevo disabiliterà permanentemente tutti i vault Ribbon e avvierà un processo di recupero limitato per gli utenti colpiti. Ha spiegato che il vecchio vault Ribbon DOV è stato hackerato il 12 dicembre a causa di vulnerabilità nello smart contract introdotte da un recente aggiornamento, portando a una perdita di 2,7 milioni di dollari.
Di conseguenza, tutti i vault Ribbon sono stati messi in pausa e presto saranno disabilitati permanentemente, con una finestra di richiesta di sei mesi fino al 12 giugno 2026. Il post aggiunge che la DAO liquiderà gli asset rimanenti per compensare gli utenti “fino al 19% dell'importo mancante o del saldo residuo”, a seconda di quale sia inferiore.
Abbiamo un aggiornamento sull'exploit dei legacy Ribbon DOV, in particolare i prossimi passi che proponiamo per i depositanti dei vault colpiti.
Se hai una posizione attiva in un vault Ribbon, ti preghiamo di leggere attentamente, poiché sarà richiesta un'azione da parte tua.
Tutti i vault Ribbon sono stati fermati e…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 dicembre 2025
Come è avvenuto effettivamente l'hack dei vault Ribbon
Gli investigatori della blockchain hanno ricostruito il percorso dell'attacco utilizzando il contratto exploit a 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE e almeno 15 indirizzi destinatari segnalati per primi dall'analista on-chain Specter su X. Specter ha scritto che “il vecchio contratto di @ribbonfinance è stato svuotato per un totale di 2,7 milioni di dollari”, elencando gli indirizzi di furto che hanno ricevuto fondi drenati [NC] e stablecoin.
Il vecchio contratto di @ribbonfinance è stato svuotato per un totale di 2,7 milioni di dollari.
Contratto exploit: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Indirizzi di furto:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 dicembre 2025
Analisi di sicurezza provenienti da diverse fonti concordano sul fatto che l'attaccante abbia abusato dell'oracle proxy admin per inviare prezzi di scadenza arbitrari per wstETH, AAVE, [NC] e altri sottostanti, per poi chiudere posizioni oToken contro il MarginPool di Ribbon e prelevare asset dai vault.
I post-mortem indicano un bug di disallineamento dei decimali introdotto sei giorni prima, quando Ribbon ha aggiornato l'oracle pricer a feed a 18 decimali per stETH, PAXG, LINK e AAVE, mantenendo però USDC a otto decimali. Il ricercatore di sicurezza Web3 Weilin ha evidenziato che questa configurazione permetteva la creazione di prezzi di scadenza falsificati con lo stesso timestamp su diversi asset, che la pipeline di settlement trattava poi come validi per posizioni short oToken rilevanti. I fondi ora sono distribuiti tra i 15 indirizzi originali e diversi wallet di consolidamento, senza alcuna trattativa pubblica di recupero da parte dell'attaccante.
L'ultimo attacco a @ribbonfinance sembra essere dovuto a un errore di configurazione dell'oracolo.
6 giorni fa, i proprietari hanno aggiornato l'oracle pricer che usa prezzi a 18 decimali per stETH, PAXG, LINK e AAVE. Tuttavia, altri asset come USDC sono ancora a 8 decimali.
La creazione di OToken non è un… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 dicembre 2025
Il prezzo di Aevo reagisce con un calo
Il mercato ha già penalizzato Aevo. AEVO viene scambiato oggi a circa 0,041 dollari per token, con un calo del 7% negli ultimi 7 giorni e una capitalizzazione di mercato di 37,7 milioni di dollari su una fornitura circolante di 915,8 milioni. Questo prezzo è inferiore del 98,9% rispetto al massimo storico del 28 marzo 2024 di 3,86 dollari.
Prezzo di Aevo in 7 giorni | Fonte: CoinMarketCap
Il valore implicito del protocollo ora si aggira vicino al TVL on-chain di circa 28,2 milioni di dollari, il che riduce il margine di errore quando la DAO socializza una perdita del 32% sui vault ma promette solo fino al 19% di rimborso.
Reazione negativa della community al piano di recupero di Ribbon
La reazione della community ai termini di recupero del 19% è diventata ostile sui canali social e nei report secondari.
questa cosa è davvero assurda, non puoi semplicemente prendere soldi da account dormienti. che diavolo succede in questa industria
— 0xCommodity (@0xCommodity) 14 dicembre 2025
I commentatori sostengono che i primi depositanti di Ribbon, che hanno lasciato asset nei vault DOV deprecati sulla base di precedenti rassicurazioni, ora subiscono una perdita superiore all'80%. Allo stesso tempo, Aevo continua a gestire la sua principale piattaforma di derivati e la L2 stack senza essere influenzata.
"…gli account con i depositi più grandi sono rimasti dormienti negli ultimi 2–4 anni, ed è molto probabile che molti di loro non preleveranno affatto."
Le persone stanno ancora prelevando da Saffron V1 dal 2020. Non puoi semplicemente rubare soldi perché sono stati depositati da un po'. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 dicembre 2025
Gli utenti segnalano anche che alcuni thread sono stati cancellati e che ora i commenti ai post di Aevo sono limitati agli account verificati e a quelli precedentemente menzionati da Aevo. L'azienda indirizza gli utenti verso il processo formale di richiesta invece che al dibattito aperto.
Da una prospettiva istituzionale, l'exploit stesso appare come un classico errore di configurazione dell'oracolo. Tuttavia, la risposta rispecchia episodi di stress precedenti come Mango, Euler e altri, dove la soluzione tecnica è arrivata più rapidamente di quella sociale.
Un desk che instrada volumi tramite Aevo ora deve valutare non solo il rischio dello smart contract, ma anche il rischio di governance e quello sociale in qualsiasi prodotto vault che porti il marchio legacy Ribbon, dato che la DAO ha stabilito un precedente secondo cui le perdite nelle vecchie linee di vault possono essere liquidate a una frazione del valore nominale anche mentre la piattaforma di trading principale e il token restano attivi.
