📚Aevoで起きたオラクル設定ミスによる資金流出 ✅概要 Aevoに統合された旧Ribbon FinanceのVaultで、オラクル設定の更新ミスをきっかけに約270万ドル相当の資金が流出しました。 暗号技術の高度な突破ではなく、権限管理と価格計算の設定不備が連鎖的に悪用された事例です。 過去の設計と新しいアップデートのズレが、どのようにして致命的な結果を生んだのかが整理されています。 ✅RibbonからAevoへの統合の背景 Ribbon FinanceはDeFiオプションの初期プロトコルとして知られ、後にAevoへ統合されました。 この統合はサービス終了ではなく、既存VaultをAevoの中核機能として継続利用する判断でした。 そのため、旧Vaultは今もEthereum上で稼働し続けており、資金も残ったままでした。 ✅問題の発端となったオラクル更新 2025年12月、Aevoは旧Ribbon Vaultのオラクル設定を更新しました。 オラクルは価格情報をスマートコントラクトに伝える重要な仕組みです。 しかしこの更新で、管理者権限のチェックが外れ、誰でも価格や実装先を変更できる状態が生まれていました。 いわば金庫の鍵を外したままにした状態です。 ✅権限ミスと価格計算のズレ アップデート後のオラクルは18桁の小数を前提にしていましたが、Vault内には8桁小数の古い資産も残っていました。 この差が価格計算のズレを生み、攻撃者は実際よりも極端に高い価格を設定できました。 さらに、オラクルの所有権移転がtx.origin（トランザクションの最初の送信者）だけで判定されていたため、特定のウォレットを経由することで正規管理者のように振る舞えました。 ✅攻撃の流れ 攻撃者はまず不正な条件を満たすオプション商品を作成し、次にオラクルの実装を一時的に差し替えて価格を改ざんしました。 その状態でoToken（オプションを表すトークン）を行使すると、Vaultは正しい処理だと信じて大量のWETHやUSDCを支払いました。 この操作を繰り返すことでVaultは短時間で空になりました。 ✅資金の移動と隠蔽 流出した資金は複数のウォレットに分散され、一定額ずつに分けて移動されました。 これは追跡を困難にする典型的な手法で、最終的にミキサー利用を前提とした動きと見られています。 単独犯ではなく役割分担された構成で動いていた可能性も指摘されています。 ✅Aevo側の対応と混乱 Aevoは事件発覚後、旧Ribbon Vaultを停止しました。 当初は一部補填を前提とした対応案を出しましたが、その前提が誤っていたとして撤回されました。 結果として、すでに出金手続きをしていた利用者と、まだVaultに資金を置いていた利用者で明暗が分かれる形になりました。 ✅この事例が示すもの この問題は、スマートコントラクトが古くなったから危険なのではなく、動いているコードを「実質的に使っていない」と誤認することが危険だと示しています。 Deprecated（非推奨）とされても、資金が残り、権限を持つコードは攻撃対象であり続けます。 アップデート時に過去の設計思想を無視すると、長年の安全対策が一瞬で無効化される現実が浮き彫りになりました。