أدى هجوم متطور على شركة Ribbon Finance التي أعيد تسميتها إلى Aevo إلى سحب 2.7 مليون دولار منtracالقديم ونقلها إلى خمسة عشر عنوان محفظة منفصلة، وقد تم دمج بعضها بالفعل في حسابات أكبر.
بحسب عدد من محققي تقنية البلوك تشين على منصة التواصل الاجتماعي X، وقع الهجوم بعد ستة أيام فقط من تحديث المنصة لبنيتها التحتية الخاصة بنظام التنبؤ وإجراءات إنشاء الخيارات. استخدم المهاجمونtracذكيًاtracمئات من رموز Ethereum وأصول رقمية أخرى.
مليونtracدولار . تم سحب العقد القديم لشركة @ribbonfinance مقابل مبلغ إجمالي قدره
tracالاستغلال: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
عناوين السرقة:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— سبيكتر (@SpecterAnalyst) ١٢ ديسمبر ٢٠٢٥
في سلسلة نقاش تشرح الثغرة الأمنية، قال محلل أمن Web3 ليي تشو إن خبيثًاtracتلاعب بمجموعة Opyn/Ribbon oracle من خلال إساءة استخدام وكلاء تغذية الأسعار، ودفع أسعار انتهاء صلاحية عشوائية لـ wstETH و AAVEو LINK و WBTC في oracle المشترك في طابع زمني مشترك لانتهاء الصلاحية.
وأوضح تشو قائلاً: "قام المهاجم بوضع مراكز بيع كبيرة على oToken ضد MarginPool التابع لشركة Ribbon Finance، والذي استخدم أسعار انتهاء الصلاحية المزورة هذه في خط التسوية الخاص به، وقام بتحويل مئات من WETH وwstETH، وآلاف من USDC، والعديد من WBTC إلى عناوين مسروقة من خلال معاملات الاسترداد والاسترداد إلى".
كان لتحديث أسعار أوراكل لشركة ريبون فاينانس نقاط ضعف.
قبل ستة أيام من الهجوم، قام فريق Ribbon Finance بتحديث مُسعِّر البيانات (Oracle Pricer) لدعم 18 خانة عشرية لعملات stETH وPAXG وLINK و AAVE. مع ذلك، ظلت أصول أخرى، بما في ذلك USDC، تعمل بثمانية خانات عشرية، ووفقًا لـ Zhou، ساهم هذا التباين في دقة الأرقام العشرية في الثغرة الأمنية التي تم استغلالها يوم الجمعة.
أحدث على @ribbonfinance ناتج عن خطأ في تكوين أوراكل.
قبل ستة أيام، قام مالكو المنصة بتحديث مُسعِّر أوراكل الذي يستخدم 18 خانة عشرية لأسعار عملات stETH وPAXG وLINK و AAVE. مع ذلك، لا تزال أسعار أصول أخرى مثل USDC عند 8 خانات عشرية.
إنشاء OToken ليس... pic.twitter.com/4cpZUNTNun
– ويلين (وليام) لي (@ hklst4r) 13 ديسمبر 2025
وفقًا لمطور مجهول الهوية يستخدم اسم المستخدم Weilin على X، فإن إنشاء oTokens نفسه لم يكن غير قانوني لأنه يجب إدراج كل رمز أساسي في القائمة البيضاء قبل استخدامه كضمان أو أصل هجوم، وهو إجراء اتبعه المهاجم بحذافيره.
بدأ النشاط الخبيث بإنشاء منتجات خيارات سيئة التنظيم، حيث يتكون أحد المنتجات من خيار شراء stETH بسعر تنفيذ 3800 USDC، مضمون بـ WETH، ومن المقرر أن ينتهي في 12 ديسمبر. ثم أنشأ المهاجم العديد من oTokens لهذه الخيارات، والتي تم استغلالها لاحقًا لاستنزاف البروتوكول.
تضمن الهجوم تفاعلات متكررة معtracإدارة الوكيل على العنوان 0x9D7b…8ae6B76. استُخدمت بعض الدوال، مثل transferOwnership و setImplementation، للتلاعب بوكلاء تغذية الأسعار عبر استدعاءات المندوبين. استدعى المخترق تطبيقًا خاصًا بالوسيط لتعيين أسعار انتهاء صلاحية الأصول في نفس الطابع الزمني، مما تسبب في أحداث ExpiryPriceUpdated التي أكدت التقييمات الاحتيالية.
أدى التلاعب بالأسعار إلى جعل النظام يتعرف على عملة stETH على أنها أعلى بكثير من سعر التنفيذ، مما تسبب في حرق 225 رمزًا من رموز oTokens، مُنتجًا 22.468662541163160869 من عملة WETH. وبذلك،tracالمخترق من الحصول على ما يقارب 900 إيثيريوم بهذه الطريقة.
رصدت شركة Spectre الأمنية المتخصصة في أمن شبكات الويب 3 عمليات التحويل الأولية إلى عنوان محفظة على العنوان 0x354ad…9a355e، ومن هناك، وُزِّعت الأموال على 14 حسابًا إضافيًا، يحتوي كل منها على حوالي 100.1 إيثيريوم. وقد دخلت بعض الأموال المسروقة بالفعل ما أشار إليه Zhou في مجال تقنية البلوك تشين باسم "TC" أو مجمعات توحيد الخزينة.
مطور بروتوكول إقراض التمويل DeFi : لم يتم اختراق تطبيق Opyn اللامركزي
بحسب مطور Monarch DeFi أنطون تشنغ، فإن تطبيق Opyn اللامركزي المدعوم من Coinbase لم يتعرض للاختراق كما أشيع في أحاديث تويتر المتعلقة بالعملات المشفرة.
ألقيت نظرة على ثغرة Ribbon لأنني قد أكون مسؤولاً عنها. إليكم ما وجدته حتى الآن:
1. @opyn_ لم يتم اختراق حساب حساب @ribbonfinance_.
2. كان سبب الاختراق الرئيسي هو تحديث كود أوراكل الذي سمح لأي شخص بتحديد أسعار الأصول الجديدة.هذا، عندما… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP
– أنطون تشينج (antonttc) 13 ديسمبر 2025
أوضح تشنغ أن اختراق شركة Ribbon Finance تم تسهيله بواسطة كود برمجي مُطوّر سمح عن غير قصد لأي مستخدم بتحديد أسعار الأصول المُضافة حديثًا. وأشار إلى أن الهجوم بدأ بمعاملة تمهيدية "لتهيئة الظروف" من خلال إنشاء رموز oTokens ضعيفة البنية بضمانات وأصول مشروعة. وأضاف أن الرموز المزيفة سمحت للمخترق باختيار أصول أساسية معروفة مثل AAVE لتجنب لفت الانتباه والكشف عنه.
ثم أنشأ المخترق ثلاثة "حسابات فرعية"، أودع في كل منها حدًا أدنى من الضمانات لإصدار الخيارات الثلاثة. تم تصنيف على أنها من النوع 0، مما يعني أنها ممولة بالكامل، ولكن عدم وجود حد أقصى للدفع لكل حساب أو رمز oToken ساعد الجاني على استنزاف الأصول دون أي قيود.
في أنظمة جاما من أوبين، يجب أن يتطابق الأصل الأساسي مع الضمانات المقدمة لخيارات الشراء وسعر التنفيذ لخيارات البيع لضمان حصول البائعين على ضمانات كاملة. في حال اختراق نظام التنبؤ، فإن البائعين لهذا المنتج المحدد فقط هم من سيتضررون.
لكن في هذه الحالة، كان الجمع بين إنشاء oToken جديد والوسيط المُتلاعب به كافياً لتجاوز هذه الحمايات.
