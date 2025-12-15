أبرز النقاط

تعرّضت صناديق Ribbon DOV التابعة لـ Aevo لخسارة قدرها 2.7 مليون دولار في 12 ديسمبر، بعد أن أدّى تحديث الأوراكل إلى ثغرة في عقد ذكي.

عُطلت جميع صناديق Ribbon نهائيًا، مع فتح نافذة مطالبات لمدة ستة أشهر تنتهي في 12 يونيو 2026.

تخطط الـ DAO لتسييل الأصول المتبقية وتعويض المستخدمين بنسبة تصل إلى 19٪ من المبلغ المفقود.

أكدت Aevo، منصة المشتقات التي أسسها الفريق السابق لـ Ribbon Finance، تسجيل خسارة قدرها 2.7 مليون دولار في صناديق Ribbon DOV القديمة، عقب تحديث مرتبط بالأوراكل في عقدها الذكي بتاريخ 12 ديسمبر.

We regret to confirm that the legacy Ribbon DOV vaults were exploited yesterday following a vulnerability in a smart contract update, resulting in a loss of approximately $2.7M USD. We have immediately taken action to identify the root cause and are coordinating with CEXs and… — Aevo (fka Ribbon Finance) (@ribbonfinance) December 13, 2025

وأوضح فريق المشروع لاحقًا أن Aevo ستعطّل جميع صناديق Ribbon بشكل دائم، وستطلق آلية استرداد محدودة للمستخدمين المتضررين. وبيّن أن صندوق Ribbon DOV القديم تعرّض للاختراق في 12 ديسمبر بسبب ثغرات في عقد ذكي ناتجة عن تحديث حديث، ما أسفر عن خسارة 2.7 مليون دولار.

ونتيجة لذلك، تم إيقاف جميع صناديق Ribbon، على أن يجري تعطيلها نهائيًا قريبًا، مع فتح نافذة مطالبات لمدة ستة أشهر تمتد حتى 12 يونيو 2026. وأضاف البيان أن الـ DAO ستسيّل الأصول المتبقية لتعويض المستخدمين “بحد أقصى 19٪ من المبلغ المفقود أو الرصيد المتبقي”، أيهما أقل.

We have an update on the legacy Ribbon DOVs exploit, specifically the next steps we're proposing for impacted vault depositors. If you have an active Ribbon vault position, please read carefully, as action will be required on your side. All Ribbon vaults have been stopped and… — Aevo (fka Ribbon Finance) (@ribbonfinance) December 14, 2025

كيف حدث اختراق صندوق Ribbon فعليًا

تمكّن محققو البلوكشين من تتبّع مسار الهجوم عبر عقد الهجوم على الخزانية عند العنوان:



0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE



إلى جانب ما لا يقل عن 15 عنوانًا مستلمًا جرى رصدها أولًا من محلل السلسلة Specter على منصة إكس. وكتب Specter أن “العقد القديم لـ Ribbon Finance جرى استنزافه بإجمالي 2.7 مليون دولار”، مع إدراج عناوين السرقة التي استلمت توكنات [NC] وعملات مستقرة.

The old contract of @ribbonfinance has been drained for a total of $2.7M. Exploit contract: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE Theft addresses:

0x354ad0816de79E72452C14001F564e5fDf9a355e

0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS — Specter (@SpecterAnalyst) December 12, 2025

واتفقت تقارير أمنية من عدة منصات على أن المهاجم أساء استخدام صلاحيات مدير بروكسي الأوراكل لإرسال أسعار انتهاء تعسفية لأصول مثل wstETH وAAVE و[NC] وغيرها، ثم سوّى مراكز oToken مقابل MarginPool الخاصة بـ Ribbon لسحب الأصول من الصناديق.

في نفس الوقت أشارت تقارير ما بعد الحادث إلى وجود خطأ في عدم تطابق الكسور العشرية أُدخل قبل ستة أيام، عندما حدّثت Ribbon مسعّر الأوراكل إلى تغذيات بـ 18 خانة عشرية لأصول مثل stETH وPAXG وLINK وAAVE، مع الإبقاء على USDC بثماني خانات عشرية. وبيّن باحث أمن Web3 ويلين أن هذا الإعداد سمح بتزوير أسعار انتهاء عند طابع زمني موحّد عبر أصول متعددة، وهو ما اعتبرته آلية التسوية صالحًا لمراكز oToken القصيرة البارزة. حاليًا، ما تزال الأموال موزعة على العناوين الخمسة عشر الأصلية وعدة محافظ تجميع، دون أي مفاوضات استرداد معلنة من جانب المهاجم.

The latest @ribbonfinance attack appears to be a oracle configuration fault. 6 days ago, the owners updated the oracle pricer which uses 18 decimals price for stETH, PAXG, LINK and AAVE. However, other assets like USDC price still at 8 decimals. creation of OToken is not a… pic.twitter.com/4cpZUNTNun — Weilin (William) Li (@hklst4r) December 13, 2025

تراجع سعر Aevo بعد حادثة الاختراق

سجّل السوق ردة فعل سلبية تجاه Aevo، إذ تتداول عملة AEVO اليوم قرب 0.041 دولار، مع انخفاض بنسبة 7٪ خلال سبعة أيام. وتبلغ القيمة السوقية نحو 37.7 مليون دولار، استنادًا إلى معروض متداول قدره 915.8 مليون عملة. ويعني ذلك أن السعر الحالي أقل بنسبة 98.9٪ من أعلى مستوى تاريخي سُجّل في 28 مارس 2024 عند 3.86 دولارات.

وفي الوقت نفسه، تقترب القيمة الضمنية للبروتوكول من إجمالي القيمة المقفلة على السلسلة البالغ نحو 28.2 مليون دولار. ويُقلّص هذا التقارب هامش الخطأ، خاصةً مع تقاسم الـ DAO لخسارة صناديق بنسبة 32٪، مقابل التزام بتعويض لا يتجاوز 19٪ فقط.

غضب واسع من خطة تعافي Ribbon

تصاعدت ردود الفعل السلبية تجاه شروط التعويض البالغة 19٪ عبر قنوات التواصل الاجتماعي والتغطيات الثانوية، لتتحول إلى حالة غضب علني.

We have an update on the legacy Ribbon DOVs exploit, specifically the next steps we're proposing for impacted vault depositors. If you have an active Ribbon vault position, please read carefully, as action will be required on your side. All Ribbon vaults have been stopped and… — Aevo (fka Ribbon Finance) (@ribbonfinance) December 14, 2025

ويجادل معلّقون بأن المودعين الأوائل في Ribbon، الذين أبقوا أصولهم داخل صناديق DOV المتقادمة اعتمادًا على تطمينات سابقة، يواجهون الآن خصمًا يتجاوز 80٪ من قيمة أموالهم. وفي المقابل، تواصل Aevo تشغيل منصتها الرئيسية لتداول المشتقات وبنيتها من الطبقة الثانية دون أي تأثير يُذكر.

We have an update on the legacy Ribbon DOVs exploit, specifically the next steps we're proposing for impacted vault depositors. If you have an active Ribbon vault position, please read carefully, as action will be required on your side. All Ribbon vaults have been stopped and… — Aevo (fka Ribbon Finance) (@ribbonfinance) December 14, 2025

كما أفاد مستخدمون بحذف بعض النقاشات، وبأن التعليق على منشورات Aevo بات مقتصرًا على الحسابات الموثّقة أو تلك التي ذكرتها الشركة سابقًا. وتوجّه Aevo المستخدمين إلى مسار المطالبات الرسمي بدل فتح باب نقاش عام.

ومن زاوية مؤسسية، يبدو الاستغلال نفسه حالةً نموذجية لفشل إعدادات الأوراكل. ومع ذلك، تعكس طريقة التعامل معه سوابق شهدها القطاع في أزمات مثل Mango وEuler وغيرها، حيث جاء الحل التقني أسرع من الحل الاجتماعي.

أما بالنسبة لمكاتب التداول التي تمرّر أحجامًا عبر Aevo، أصبح التسعير لا يشمل اليوم مخاطر العقود الذكية فقط، بل مخاطر الحوكمة والطبقة الاجتماعية لأي منتج صناديق يحمل إرث علامة Ribbon. فقد رسّخت الـ DAO سابقة مفادها أن خسائر خطوط الصناديق الأقدم يمكن تسويتها بجزء صغير من قيمتها الاسمية، حتى بينما تبقى منصة التداول الأساسية والرمز المميّز قيد التشغيل.