📚 Ang Paggawa ng Maling Konfigurasyon ng Oracle sa Aevo na Nagdulot ng Pagkalugi ng Pondo ✅ Pangkalahatang-ideya Sa isang lumang Vault ng Ribbon Finance na inilipat sa Aevo, ang isang maling pag-update ng konfigurasyon ng oracle ay nagdulot ng pagkalugi ng humigit-kumulang $2.7 milyon na halaga ng pondo. Ito ay hindi isang advanced na pag-atake sa teknolohiya ng cryptocurrency kundi isang halimbawa kung paano ang maling pamamahala ng awtoridad at maling pagkalkula ng presyo ay naging sanhi ng pag-atake. Nagawa na rin itong maayos na ilarawan kung paano ang pagkakaiba sa dating disenyo at bagong update ay nagdulot ng isang malubhang resulta. ✅ Konteksto ng Pagsasama ng Ribbon sa Aevo Ang Ribbon Finance ay kilala bilang isang unang protocol ng DeFi options at inilipat ito sa Aevo. Ang pagsasama ay hindi isang pagtatapos ng serbisyo kundi isang desisyon upang patuloy na gamitin ang dating Vault bilang isang pangunahing tampok ng Aevo. Kaya naman, ang dating Vault ay patuloy na gumagana sa Ethereum at mayroon pa rin itong pondo. ✅ Ang Unang Sanhi ng Pag-update ng Oracle Noong Disyembre 2025, in-update ng Aevo ang konfigurasyon ng oracle ng dating Vault ng Ribbon. Ang oracle ay isang mahalagang mekanismo na nagpapadala ng impormasyon sa presyo sa smart contract. Subalit, sa pag-update, nawala ang pagsusuri sa awtoridad kaya't maaaring gawin ng sinuman ang pagbabago ng presyo at implementasyon. Ito ay parang walang sinasakop na tumbok ng isang vault. ✅ Maling Pagpapahintulot at Pagkakaiba sa Presyo Ang bagong oracle pagkatapos ng update ay nagsasaad ng 18-digit decimal pero mayroon pa ring lumang asset na may 8-digit decimal sa Vault. Ang pagkakaiba ay nagdulot ng maling pagkalkula ng presyo kaya't maaaring itakda ng mga attacker ang isang sobrang mataas na presyo. Higit pa rito, ang pagpapalit ng ownership ng oracle ay nagsasaad lamang ng tx.origin (unang nagpadala ng transaksyon) kaya't maaaring magawa ng isang partikular na wallet na magmukhang isang opisyales na administrator. ✅ Proseso ng Pag-atake Una, gumawa ang attacker ng isang opsyon na may mga di-wastong kondisyon. Pagkatapos, inilipat nito ang implementasyon ng oracle nang pansamantala at inalokan ang presyo. Sa ganitong estado, kapag in-exercise ang oToken (token na kumakatawan sa opsyon), naniniwala ang Vault na ito ay isang wastong proseso at nagbabayad ng malaking halaga ng WETH at USDC. Sa paulit-ulit na paggawa nito, ang Vault ay naging walang laman sa loob ng maikling panahon. ✅ Paggalaw at Paghihiding ng Pondo Ang mga pondo na nawala ay inhiwalay sa maraming wallet at inilipat sa mga bahagi. Ito ay isang tipikal na paraan upang mahirapan ang pagsubaybay at tila nagmumula ito sa paggamit ng isang mixer. May posibilidad din na ito ay hindi isang solong tao kundi isang grupo na mayroon nang naka-iskedyul na mga tungkulin. ✅ Reaksyon at Kumpiyansa ng Aevo Pagkatapos ng insidente, inilock ng Aevo ang dating Vault ng Ribbon. Una, inilahad nila ang isang plano na mag-reimburse ng bahagi ng pondo pero inalis nila ito dahil sa maling presmisyon. Sa huli, ang mga user na nagsimulang mag-withdraw at ang mga user na may pondo pa sa Vault ay naging may iba't ibang resulta. ✅ Ang Ipinapakita ng Kaganapang Ito Ang problema ay hindi nagsasaad na ang isang lumang smart contract ay mapanganib kundi ang pagkakamali sa pag-unawa kung hindi ito "aktwal na ginagamit" ay mapanganib. Kahit na ito ay naging deprecated, ang pondo at ang code na may awtoridad ay patuloy na maaaring maging target ng pag-atake. Nagawa na rin itong ipakita kung paano ang pagbalewala sa dating disenyo habang nagaganap ang update ay maaaring biglaan lamang itong maging sanhi ng pagkawala ng seguridad na nasa ilalim ng maraming taon.