Các hầm tiền (vault) quyền chọn DeFi cũ thuộc về Ribbon Finance (nay đã đổi tên thành Aevo) vừa bị tin tặc rút ruột khoảng 2,7 triệu USD. Nguyên nhân được xác định là do một bản nâng cấp hệ thống báo giá (oracle) bị lỗi, vô tình mở cửa cho kẻ xấu thao túng giá.
Vào ngày 12 tháng 12, các hợp đồng thông minh cũ của Ribbon Finance đã bị tấn công, gây thiệt hại ước tính lên tới 2,7 triệu USD. Sự cố này xảy ra chỉ vài ngày sau khi một bản nâng cấp cơ sở hạ tầng oracle được triển khai vào ngày 6 tháng 12.
Vụ tấn công nhắm trực tiếp vào các DeFi Options Vaults (DOV) của Ribbon. Đây là các sản phẩm tài chính từng nắm giữ hơn 300 triệu USD tổng giá trị bị khóa (TVL) ở thời kỳ đỉnh cao của DeFi. Mặc dù Ribbon Finance đã đổi tên và chuyển đổi mô hình sang sàn giao dịch phái sinh Aevo vào năm 2023, các vault này vẫn hoạt động trên mạng lưới Ethereum.
Đại diện dự án khẳng định sàn giao dịch Layer 2 chính của Aevo không bị ảnh hưởng bởi vụ việc này.
The old contract of @ribbonfinance has been drained for a total of $2.7M.
— Specter (@SpecterAnalyst) December 12, 2025
Exploit contract: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Theft addresses:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS
Lỗ hổng từ bản nâng cấp “chí mạng”
Chuyên gia phân tích blockchain Specter là người đầu tiên phát hiện ra các dòng tiền chảy ra bất thường trên mạng xã hội X. Kẻ tấn công đã rút hàng trăm ETH và một lượng lớn USDC, sau đó phân tán số tiền này vào 15 địa chỉ ví khác nhau.
Nhà nghiên cứu bảo mật Liyi Zhou sau đó đã công bố một bản phân tích chi tiết. Theo đó, tin tặc đã thao túng hệ thống oracle của Opyn/Ribbon bằng cách lạm dụng các proxy cấp dữ liệu giá. Lỗ hổng này cho phép kẻ tấn công đẩy các mức giá đáo hạn tùy ý cho các tài sản như wstETH, AAVE, LINK và WBTC vào hệ thống oracle dùng chung.
Ông Anton Cheng đến từ Monarch DeFi chỉ ra rằng bản nâng cấp ngày 6 tháng 12 chính là nguyên nhân gốc rễ, khi nó vô tình “cho phép bất kỳ ai cũng có thể đặt giá cho các tài sản mới”. Ông cũng xác nhận giao thức Opyn bên dưới không bị xâm phạm, lỗi này chỉ nằm ở cấu hình oracle của Ribbon.
Looked a bit into this with @Zyy_0530 this morning after we woke up.
— Liyi Zhou (@lzhou1110) December 13, 2025
An attacker-controlled contract manipulated the Opyn/Ribbon oracle stack by abusing upgradeable price-feed proxies to push arbitrary expiry prices for wstETH, AAVE, LINK, and WBTC into the shared Oracle at a… https://t.co/BjY2JNOE84
Giải pháp khắc phục và mức đền bù
Ngay sau sự cố, Aevo tuyên bố trên X rằng tất cả các vault của Ribbon đã bị dừng hoạt động và sẽ bị đóng cửa ngay lập tức.
Mặc dù tổng thiệt hại thực tế lên tới 32% giá trị tài sản trong các vault, đội ngũ dự án đề xuất mức cắt giảm (haircut) chỉ là 19% đối với người dùng rút tiền. Lý do Aevo có thể đưa ra mức thiệt hại thấp hơn này là vì:
- Tổ chức tự trị phi tập trung (DAO) sẽ từ bỏ các vị thế của chính mình trong vault (trị giá khoảng 400.000 USD) để bù đắp một phần thiệt hại, giảm mức lỗ ròng xuống còn 2,3 triệu USD.
- Nhiều tài khoản có số dư lớn đã “ngủ đông” trong 2 đến 4 năm qua và có khả năng sẽ không thực hiện rút tiền.
We have an update on the legacy Ribbon DOVs exploit, specifically the next steps we're proposing for impacted vault depositors.
— Aevo (fka Ribbon Finance) (@ribbonfinance) December 14, 2025
If you have an active Ribbon vault position, please read carefully, as action will be required on your side.
All Ribbon vaults have been stopped and…
Đội ngũ phát triển chia sẻ: “Chúng tôi đề xuất ưu tiên những người dùng đang hoạt động bằng cách cho họ chịu mức cắt giảm thấp hơn ngay từ đầu. Với tỷ lệ tài khoản ngủ đông dự kiến, rất có khả năng những người dùng rút tiền trong thời gian yêu cầu bồi thường cuối cùng sẽ được hoàn trả đầy đủ sau đợt phân phối cuối”.
Cửa sổ yêu cầu bồi thường sẽ mở trong 6 tháng, từ ngày 12 tháng 12 đến ngày 12 tháng 6. Sau thời hạn này, DAO sẽ thanh lý các tài sản còn lại và phân phối cho những người dùng đã rút tiền trước đó để bù đắp cho khoản thiếu hụt 19%. Tuy nhiên, đội ngũ cũng nhấn mạnh rằng DAO “chưa bao giờ hứa hẹn hoặc cung cấp bảo hiểm cho các khoản tiền gửi”.
Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro thao túng oracle, một phương thức tấn công dai dẳng trong lĩnh vực DeFi.