Les anciens coffres-forts d’options DeFi (DOV) de Ribbon Finance, désormais intégrés à l’écosystème Aevo, ont subi une exploitation majeure le 12 décembre, entraînant une perte estimée à 2,7 millions de dollars.
L’incident fait suite à une mise à niveau de l’oracle intervenue quelques jours plus tôt, qui a ouvert une brèche critique dans le mécanisme de fixation des prix.
⚠️ Une faille introduite lors d’une mise à jour de l’oracle
Selon les analyses de sécurité blockchain, la vulnérabilité provient d’une mise à jour du 6 décembre de l’infrastructure oracle utilisée par Ribbon.
Cette modification a permis, sans restriction, à n’importe quel utilisateur de définir arbitrairement les prix d’actifs nouvellement ajoutés.
Cette faiblesse a été exploitée pour manipuler les prix d’expiration de plusieurs actifs, notamment :
- wstETH
- AAVE
- LINK
- WBTC
Le tout via l’oracle partagé Opyn/Ribbon, avec des horodatages d’expiration identiques.
📖 Une faille des oracles Chainlink ? Liquidation de 500 000 $
🧠 Détection et déroulement de l’attaque
L’analyste blockchain Specter a été le premier à signaler des sorties de fonds suspectes sur X.
L’attaquant a siphonné :
- des centaines d’ETH
- une quantité importante de stablecoins (USDC)
Les fonds ont ensuite été répartis sur 15 adresses distinctes, dont plusieurs contenaient environ 100 ETH chacune, rendant le suivi plus complexe.
Le chercheur en sécurité Liyi Zhou a ensuite détaillé le fonctionnement précis de l’exploit, confirmant une manipulation directe de la pile d’oracles via des proxys de flux de prix.
📖 Piratage d’Upbit : une faille interne de portefeuille?
🏗️ Des coffres hérités, mais toujours actifs
Bien que Ribbon Finance ait changé de nom pour devenir Aevo en 2023, certains contrats intelligents historiques sont restés actifs sur Ethereum.
Ces coffres DOV avaient autrefois dépassé 300 millions de dollars de valeur verrouillée au sommet de la DeFi.
Aevo a précisé que :
- la plateforme principale de produits dérivés (Layer 2) n’a pas été affectée
- la faille est spécifique à la configuration oracle des anciens coffres Ribbon
- le protocole Opyn sous-jacent n’a pas été compromis
🛑 Mise hors service et plan de compensation
Dans un communiqué publié sur X, Aevo a annoncé le gel immédiat et la mise hors service de tous les coffres Ribbon.
Les pertes initiales des coffres sont estimées à 32 %, mais Aevo propose :
- une décote limitée à 19 % pour les retraits
- une compensation partielle via :
- la renonciation de la DAO à ses réserves propres (≈ 400 000 $)
- une réduction des pertes nettes à 2,3 millions de dollars
L’équipe souligne que de nombreux comptes affectés sont inactifs depuis deux à quatre ans, ce qui pourrait permettre un remboursement intégral des utilisateurs actifs à terme.
📅 Période de réclamation
- Ouverture : 12 décembre
- Clôture : 12 juin
À l’issue de cette période, les actifs restants seront liquidés par la DAO et redistribués aux utilisateurs ayant déjà effectué un retrait, dans la limite des fonds disponibles.
Aevo rappelle toutefois que les dépôts n’ont jamais été assurés.
🧩 Une faille récurrente dans la DeFi
La manipulation des oracles reste l’un des vecteurs d’attaque les plus persistants dans la finance décentralisée.
Plus tôt cette année, le protocole Venus sur ZKsync avait déjà subi une exploitation similaire, entraînant une perte de 717 000 dollars.
👉 🔍 DUC Mon Avis : une leçon sévère sur la dette technique DeFi
Cette affaire illustre un problème récurrent : les contrats hérités, même délaissés, restent des surfaces d’attaque actives.
Une simple mise à jour mal encadrée peut suffire à rouvrir des risques majeurs, parfois des années après.
La DeFi ne manque pas d’innovation, mais elle paie encore cher la complexité des oracles, la maintenance incomplète et l’illusion qu’un produit ancien est forcément sans danger.
✍️ Article rédigé par DUC
📌 Source : Ribbon Finance
🚀 Rejoignez-moi sur YouTube et Twitch pour plus de contenu exclusif !
📢Prendre des décisions informées dans cet univers passionnant ! Comprendre, Apprendre, Réussir…
🔔 Abonnez-vous et activez les notifications pour ne manquer aucun contenu :
- Sur YouTube : Toutes les actualités Bitcoin. Un oeil sur tout le Web3
- Sur Twitch : Des lives interactifs, des Q&A, et des discussions en temps réel sur Bitcoin (politiques , techniques, minages etc) et les mouvements du marché des cryptomonnaies.
À bientôt, DUC
En savoir plus sur Actualités Bitcoin – Bitcoin-Crypto.fr
Subscribe to get the latest posts sent to your email.
Vous devez être connecté pour poster un commentaire.