最新消息
  • 居住 直播:特朗普的中国峰会正式开幕,习近平主席和一众美国重量级CEO出席。
    2026年5月13日 实时更新
  • Anthropic 同意以 9000 亿美元的估值完成 300 亿美元的融资,OpenAI 的支持者也参与了此次融资。
    50分钟前 商业
  • 随着科技公司将资金投入人工智能领域,亚马逊、领英和思科等公司纷纷裁员数千人。
    1小时前 技术
  • Alpine Fox披露其持有价值1.25亿美元的加密货币头寸,其中密码挖矿和IBIT期权交易占据第一季度财报的大部分份额。
    2小时前 商业
为您精选
  • Anthropic 同意以 9000 亿美元的估值完成 300 亿美元的融资,OpenAI 的支持者也参与了此次融资。
    50分钟前 商业
  • 随着科技公司将资金投入人工智能领域,亚马逊、领英和思科等公司纷纷裁员数千人。
    随着科技公司将资金投入人工智能领域,亚马逊、领英和思科等公司纷纷裁员数千人。
    1小时前 技术
  • Alpine Fox披露其持有价值1.25亿美元的加密货币头寸,其中密码挖矿和IBIT期权交易占据第一季度财报的大部分份额。
    2小时前 商业
每周
保持领先

最优质的加密货币资讯直接发送到您的邮箱。.

Ribbon Finance遭黑客攻击,损失270万美元

经过弗洛伦斯·穆查伊弗洛伦斯·穆查伊
阅读时长:3分钟 发布 日期:2025年12月13日
Ribbon Finance遭黑客攻击,损失270万美元
  • Ribbon Finance(前身为 Aevo)在一次 DeFi 黑客攻击中损失了 270 万美元,该攻击利用了其升级后的预言机系统和 oToken 产品。
  • 攻击者操纵价格馈送代理来赎回大量空头头寸,trac了数百个 ETH、wstETH、USDC 和 WBTC。
  • 区块链分析显示,被盗资金通过多个钱包转移,其中一些已经合并成更大的钱包集群。

针对 Aevo 更名后的 Ribbon Finance 的一次精心策划的攻击,从其旧trac中窃取了 270 万美元,并将资金转移到 15 个不同的钱包地址,其中一些钱包地址已被合并到更大的账户中。 

据社交平台 X 上的几位区块链调查员称,此次攻击发生在该平台升级其预言机基础设施和期权创建流程仅六天后。攻击者利用智能trac提示trac了数百枚 Ethereum 币和其他数字资产。

在解释该漏洞的帖子中,Web3 安全分析师 Liyi Zhou 表示, 恶意合同trac操纵 Opyn/Ribbon 预言机堆栈,并将 wstETH、 AAVE、LINK 和 WBTC 的任意到期价格推送到共享预言机中,并设置了共同的到期时间戳。 

周解释说:“攻击者在 Ribbon Finance 的 MarginPool 上建立了大量的 oToken 空头头寸,Ribbon Finance 在其结算管道中使用这些伪造的到期价格,并通过赎回和赎回到交易将数百个 WETH 和 wstETH、数千个 USDC 以及几个 WBTC 转移到被盗地址。”

Ribbon Finance对Oracle股票价格的上调存在不足之处

在攻击发生前六天,Ribbon Finance 团队更新了预言机定价器,以支持 stETH、PAXG、LINK 和 AAVE。然而,包括 USDC 在内的其他资产仍然只有 8 位小数。据周先生称,小数精度上的差异导致了周五被利用的漏洞。

据一位在 X 论坛上使用 Weilin 用户名的匿名开发者称,创建 oToken 本身并不违法,因为每个底层代币在用作抵押品或打击资产之前都必须被列入白名单,攻击者严格遵守了这一程序。

恶意活动始于创建结构不良的期权产品,其中一款产品是 stETH 看涨期权,行权价为 3,800 USDC,以 WETH 为抵押,到期日为 12 月 12 日。攻击者随后为这些期权创建了多个 oToken,这些 oToken 后来被利用来耗尽协议资金。

此次攻击涉及与地址为 0x9D7b…8ae6B76 的代理管理trac进行多次交互。攻击者利用诸如 transferOwnership 和 setImplementation 等函数,通过委托调用操纵价格信息代理。此外,攻击者还调用了预言机的实现,将资产到期价格设置为相同的时间戳,从而触发 ExpiryPriceUpdated 事件,以确认虚假估值。

人为操纵的价格使系统误认为 stETH 的价格远高于行权价,并销毁了 225 个 oToken,获得了 22.468662541163160869 个 WETH。黑客总共通过这种方法trac了约 900 个 ETH。

Web3 安全公司 Spectre 检测到最初的资金转入地址为 0x354ad…9a355e 的钱包,但随后资金被分散到另外 14 个账户,其中许多账户持有约 100.1 个 ETH。部分被盗资金已经进入了区块链开发者 Zhou 所说的“TC”(资金池)或“国库整合池”。

DeFi 借贷协议构建者:Opyn dApp未被攻破 

据 Monarch DeFi 开发者 Anton Cheng 称,Coinbase 支持的去中心化应用程序 Opyn 并未像加密货币推特上的传言那样遭到入侵。

程解释说,Ribbon Finance 的黑客攻击是由升级后的预言机代码促成的,该代码无意中允许任何用户为新添加的资产设定价格。他指出,攻击始于一笔准备交易,通过生成结构不良的 oToken 代币来“铺垫”,这些代币使用合法的抵押品和执行资产。他还表示,这些虚假代币使黑客能够选择像 AAVE 这样知名的底层资产,从而避免引起注意和被标记。 

黑客随后设立了三个“子账户”,每个账户都存入少量抵押品以铸造所有三种期权。所有子账户都被 标记 为0型,这意味着它们已全额抵押,但由于每个账户或oToken没有最高支付限额,使得犯罪分子能够不受任何限制地盗取资产。

在Opyn的Gamma系统中,标的资产必须与看涨期权的抵押品或看跌期权的行权价相匹配,以确保卖方拥有充足的抵押品。如果预言机遭到破坏,只有该特定产品的卖方才会受到损失。

然而,在这种情况下,新 oToken 的创建和被操纵的预言机的结合足以绕过这些保护措施。

不要只是阅读加密货币新闻,要理解它。订阅我们的新闻简报, 完全免费

分享这篇文章

免责声明: 提供的信息并非交易建议。Cryptopolitan.com Cryptopolitan研究 对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。
弗洛伦斯·穆查伊

弗洛伦斯·穆查伊

弗洛伦斯是一位拥有四年写作经验的作家,专长于加密货币、金融和科技领域。她毕业于马辛德·穆利罗科技大学(MMUST),主修灾害管理和国际外交。她还拥有临床心理学硕士学位。她曾担任自由撰稿人,也曾在 Cryptopolitan 担任撰稿人。.

目录
1. Ribbon Finance对Oracle股票价格的上调存在不足之处
2. DeFi 借贷协议构建者:Opyn dApp未被攻破
分享这篇文章
更多…新闻
显示全部
聊天 GPT

ChatGPT 的 5 个巧妙应用以及你应该如何应对它们
3年前 技术员 约翰·帕尔默
人工智能解决方案

路透社报道,93%的商业领袖倾向于使用人工智能解决方案进行品牌可持续发展管理。
3年前 技术员 约翰·帕尔默
法国的人工智能生态系统

以下是马克龙如何支持法国充满活力且高效的人工智能生态系统
3年前 Tech Glory Kaburu
生成式人工智能

彭博社预计,到2032年,生成式人工智能市场规模将达到1.3万亿美元。
3年前 技术 Aamir Sheikh
  • 什么是 Base?Coinbase 推出的 Ethereum Layer-2 网络。.
    什么是 Base?Coinbase 推出的 Ethereum Layer-2 网络
    2025年10月21日 学习加密货币:新手指南
  • Dogecoin 与 Bitcoin:主要技术差异
    Dogecoin 与 Bitcoin:主要技术差异
    2025年10月20日 学习加密货币:新手指南
  • 加密货币中的TVL(总锁定价值)是什么?
    加密货币中的TVL(总锁定价值)是什么?
    2025年10月14日 学习加密货币:新手指南
  • 如何阅读加密货币白皮书?
    如何阅读加密货币白皮书?
    2025年10月13日 学习加密货币:新手指南
  • Ripple 、 XRP 和 XRP Ledger:它们之间有什么区别?
    Ripple 、 XRP 和 XRP Ledger:它们之间有什么区别?
    2025年10月13日 学习加密货币:新手指南
  • 加密货币中的多重签名钱包是什么?
    加密货币中的多重签名钱包是什么?
    2025年10月10日 学习加密货币:新手指南
深度 密码
学速成课程
  • 哪些加密货币可以让你赚钱
  • 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
  • 专业人士使用的鲜为人知的投资策略
  • 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)