📚Kebocoran Dana di Aevo Akibat Kesalahan Konfigurasi Orakel ✅Ringkasan Di Vault lama Ribbon Finance yang telah diintegrasikan ke Aevo, sekitar 2,7 juta dolar AS setara dana mengalir keluar akibat kesalahan pembaruan konfigurasi orakel. Ini bukanlah pelanggaran teknis kriptografi yang canggih, tetapi contoh di mana kelemahan manajemen otoritas dan kesalahan perhitungan harga secara berantai dimanfaatkan. Bagaimana perbedaan antara desain lama dan pembaruan baru menghasilkan konsekuensi fatal telah dijelaskan. ✅Latar Belakang Integrasi dari Ribbon ke Aevo Ribbon Finance dikenal sebagai salah satu protokol awal DeFi opsi, yang kemudian diintegrasikan ke Aevo. Integrasi ini bukan penutupan layanan, tetapi keputusan untuk terus menggunakan Vault yang ada sebagai fitur inti Aevo. Karena itu, Vault lama tetap beroperasi di Ethereum dan dana tetap ada di dalamnya. ✅Awal Masalah dari Pembaruan Orakel Pada Desember 2025, Aevo memperbarui konfigurasi orakel Vault lama Ribbon. Orakel adalah mekanisme penting yang menyampaikan informasi harga ke kontrak pintar. Namun, dalam pembaruan ini, pemeriksaan otoritas administrator dihilangkan, sehingga siapa pun bisa mengubah harga dan implementasi. Ini seperti membiarkan kunci brankas terbuka. ✅Kesalahan Otoritas dan Perbedaan Perhitungan Harga Setelah pembaruan, orakel mengasumsikan desimal 18 digit, tetapi aset lama dengan desimal 8 digit tetap ada di Vault. Perbedaan ini menciptakan kesalahan perhitungan harga, sehingga penyerang bisa menetapkan harga yang jauh lebih tinggi dari seharusnya. Selain itu, transfer kepemilikan orakel hanya ditentukan oleh tx.origin (pengirim awal transaksi), sehingga penyerang bisa bertindak seperti administrator sah melalui dompet tertentu. ✅Alur Serangan Penyerang pertama membuat produk opsi dengan kondisi tidak sah, lalu sementara mengganti implementasi orakel untuk memanipulasi harga. Dalam kondisi ini, ketika oToken (token yang mewakili opsi) diexercise, Vault percaya bahwa ini adalah proses yang benar dan membayar banyak WETH dan USDC. Dengan mengulangi operasi ini, Vault menjadi kosong dalam waktu singkat. ✅Pengalihan dan Penyembunyian Dana Dana yang bocor dibagi ke beberapa dompet dan dipindahkan secara bertahap. Ini adalah metode khas untuk mempersulit pelacakan, dan tampaknya bergerak menuju penggunaan mixer. Ada juga indikasi bahwa penyerang mungkin bukan pelaku tunggal, tetapi kelompok dengan pembagian peran. ✅Tanggapan dan Kekacauan dari Aevo Setelah insiden terungkap, Aevo menghentikan Vault lama Ribbon. Awalnya mereka mengusulkan rencana penanganan yang mencakup penggantian sebagian, tetapi kemudian menariknya karena dasar rencana tersebut salah. Akibatnya, pengguna yang sudah menarik dana dan pengguna yang masih menyimpan dana di Vault mengalami hasil yang berbeda. ✅Pelajaran dari Kasus Ini Masalah ini menunjukkan bahwa bukanlah kontrak pintar yang usang yang berbahaya, tetapi kesalahan dalam menganggap kode yang masih berjalan sebagai "tidak digunakan secara实质" yang berbahaya. Meskipun dinyatakan deprecated (tidak disarankan), kode yang memiliki dana dan otoritas tetap menjadi sasaran serangan. Ketika pembaruan mengabaikan desain lama, langkah-langkah keamanan yang telah lama diterapkan bisa menjadi tidak berlaku dalam sekejap.