📚Kecurian Dana di Aevo Akibat Kesilapan Konfigurasi Orakel ✅Ringkasan Kira-kira 2.7 juta dolar AS dana telah hilang dari Vault lama Ribbon Finance yang disepadukan ke Aevo disebabkan oleh kesilapan dalam pengemaskinian konfigurasi orakel. Ini bukanlah kesalahan teknikal yang kompleks, tetapi kesalahan berantai dalam pengurusan kebenaran dan pengiraan harga yang disalahgunakan. Bagaimana perbezaan antara reka bentuk lama dan kemas kini baru membawa kepada kesan yang mematikan telah dijelaskan. ✅Latar belakang penggabungan dari Ribbon ke Aevo Ribbon Finance dikenali sebagai protokol pilihan DeFi awal, dan kemudiannya digabungkan ke Aevo. Penggabungan ini bukanlah penghentian perkhidmatan, tetapi keputusan untuk terus menggunakan Vault sedia ada sebagai ciri inti Aevo. Oleh itu, Vault lama masih beroperasi di Ethereum dan dana juga masih ada. ✅Permulaan masalah akibat pengemaskinian orakel Pada Disember 2025, Aevo mengemaskinikan konfigurasi orakel Vault lama Ribbon. Orakel adalah mekanisme penting yang memberi maklumat harga kepada kontrak pintar. Namun, semasa pengemaskinian ini, semakan kebenaran pengurus dihapuskan, membolehkan sesiapa sahaja menukar harga dan implementasi. Ini seolah-olah seperti melepaskan kunci peti keselamatan. ✅Kesilapan kebenaran dan perbezaan pengiraan harga Selepas kemas kini, orakel menganggap 18 digit perpuluhan sebagai prasyarat, tetapi aset lama dengan 8 digit perpuluhan masih wujud dalam Vault. Perbezaan ini mencipta kesilapan dalam pengiraan harga, membolehkan penyerang menetapkan harga yang jauh lebih tinggi daripada sebenarnya. Selain itu, pemindahan milik orakel hanya dihuraikan berdasarkan tx.origin (penghantar asal transaksi), membolehkan penyerang bertindak seperti pengurus sah melalui dompet tertentu. ✅Proses serangan Penyerang terlebih dahulu mencipta produk pilihan yang memenuhi syarat tidak sah, kemudian sementara menukar implementasi orakel untuk memalsukan harga. Dalam keadaan ini, apabila oToken (token pilihan) digunakan, Vault percaya ia adalah proses yang betul dan membayar sejumlah besar WETH atau USDC. Dengan mengulangi operasi ini, Vault menjadi kosong dalam masa yang singkat. ✅Pergerakan dan penutupan dana Dana yang hilang dibahagikan ke beberapa dompet dan dipindahkan secara berkala. Ini adalah kaedah biasa untuk memudahkan penjejakannya, dan akhirnya dianggap sebagai tindakan yang merancang untuk menggunakan mixer. Kemungkinan besar, ini bukan kesalahan individu tetapi kumpulan yang membagi peranan. ✅Tindakan Aevo dan kekeliruan Selepas kejadian dikesan, Aevo telah menghentikan Vault lama Ribbon. Awalnya, Aevo mengemukakan cadangan tindakan yang merangkumi penggantian sebahagian, tetapi cadangan ini ditarik balik kerana asasnya salah. Akhirnya, pengguna yang telah menarik dana dan pengguna yang masih menyimpan dana dalam Vault mengalami nasib yang berbeza. ✅Pengajaran daripada kes ini Kes ini menunjukkan bahawa risiko bukanlah kontrak pintar yang usang, tetapi kesalahan menganggap kod yang sedang beroperasi sebagai "tidak digunakan secara praktikal". Walaupun kod dinyatakan sebagai deprecated (tidak disyorkan), kod yang mempunyai dana dan kebenaran tetap menjadi sasaran serangan. Jika konsep reka bentuk lama diabaikan semasa kemas kini, langkah keselamatan yang lama boleh menjadi tidak berkesan dalam sekelip mata.