Aevo Ribbon Vault 遭利用事件引發爭議，19%賠付方案遭質疑

重點摘要

• Aevo 的舊版 Ribbon DOV 金庫於 12 月 12 日因預言機升級導致智能合約漏洞，損失 270 萬美元。
• 所有 Ribbon 金庫已永久停用，索賠窗口為六個月，至 2026 年 6 月 12 日止。
• DAO 將清算剩餘資產，並向用戶賠償最高達遺失金額 19%。

Aevo 是由前 Ribbon Finance 團隊打造的衍生品平台，確認其舊版 Ribbon DOV 金庫於 12 月 12 日因預言機相關的智能合約升級損失 270 萬美元。

我們遺憾地確認，舊版 Ribbon DOV 金庫於昨日因智能合約更新中的漏洞被利用，導致約 270 萬美元損失。

我們已立即採取行動，查明根本原因，並正與 CEX 及…協調中

— Aevo (fka Ribbon Finance) (@ribbonfinance) 2025 年 12 月 13 日

不久之後，項目團隊表示 Aevo 將永久停用所有 Ribbon 金庫，並對受影響用戶啟動有上限的補償流程。團隊解釋，舊版 Ribbon DOV 金庫於 12 月 12 日因近期更新中的智能合約漏洞遭駭，導致 270 萬美元損失。

因此，所有 Ribbon 金庫已暫停，並將很快永久停用，索賠窗口為六個月，至 2026 年 6 月 12 日止。公告補充，DAO 將清算剩餘資產，向用戶賠償「最高達遺失金額 19% 或剩餘餘額，以較低者為準」。

我們對舊版 Ribbon DOVs 被利用事件有最新進展，特別是針對受影響金庫存款人的下一步建議。

如果你有活躍的 Ribbon 金庫頭寸，請仔細閱讀，因為你需要採取行動。

所有 Ribbon 金庫已停止運作，並…

— Aevo (fka Ribbon Finance) (@ribbonfinance) 2025 年 12 月 14 日

Ribbon 金庫被駭的實際過程

區塊鏈調查人員利用 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE 這個利用合約及至少 15 個由鏈上分析師 Specter 首次標記的收款地址，重建了攻擊路徑。Specter 表示「@ribbonfinance 的舊合約已被抽乾，共損失 270 萬美元」，並列出收到被盜 [NC] 及穩定幣的地址。

@ribbonfinance 的舊合約已被抽乾，共損失 270 萬美元。

利用合約：0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE

被盜地址：
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS

— Specter (@SpecterAnalyst) 2025 年 12 月 12 日

多個安全報告一致認為，攻擊者濫用預言機代理管理員，提交 wstETH、AAVE、[NC] 及其他標的資產的任意到期價格，然後對 Ribbon 的 MarginPool 結算 oToken 頭寸，從金庫中提取資產。

事後分析指出，六天前 Ribbon 將預言機價格源更新為 stETH、PAXG、LINK 和 AAVE 的 18 位小數，但 USDC 仍維持 8 位小數，導致出現小數位不匹配的漏洞。Web3 安全研究員 Weilin 指出，這種配置允許在同一時間戳偽造多資產的到期價格，結算流程將其視為有效，導致主要空頭 oToken 頭寸被結算。資金目前分散在原本的 15 個地址及多個整合錢包，攻擊者尚未公開協商歸還資產。

最新 @ribbonfinance 攻擊似乎是預言機配置錯誤所致。

6 天前，項目方更新了預言機價格源，stETH、PAXG、LINK 和 AAVE 採用 18 位小數，但 USDC 價格仍為 8 位小數。

OToken 的創建不是… pic.twitter.com/4cpZUNTNun

— Weilin (William) Li (@hklst4r) 2025 年 12 月 13 日

Aevo 價格應聲下跌

市場已對 Aevo 做出反應。AEVO 目前每枚約 0.041 美元，7 天跌幅 7%，流通市值為 3,770 萬美元，流通量 9.158 億枚。該價格較 2024 年 3 月 28 日的歷史高點 3.86 美元下跌 98.9%。

協議隱含價值現已接近鏈上 TVL 約 2,820 萬美元，當 DAO 將 32% 金庫損失社會化、卻僅承諾最高 19% 補償時，錯誤空間被大幅壓縮。

社群對 Ribbon 補償方案反彈

社群對 19% 補償條款的反應在各大社交平台及二級報導中變得激烈。

這真的太糟糕了，你不能就這樣拿走休眠帳戶的錢。這行業到底怎麼了

— 0xCommodity (@0xCommodity) 2025 年 12 月 14 日

評論者認為，早期 Ribbon 存款人因過去承諾將資產留在已棄用的 DOV 金庫，如今卻要承受超過 80% 的損失。同時，Aevo 仍繼續運營其主力衍生品交易所及 L2 堆疊，未受影響。

「…最大存款的帳戶在過去 2–4 年已經休眠，很可能很多人根本不會提領。」

人們至今還在從 2020 年的 Saffron V1 提領。你不能因為資金存放一段時間就把錢拿走。pic.twitter.com/yZxKtsKQvw

— psykeeper 𐁉 (@psykeeper) 2025 年 12 月 14 日

用戶也反映部分討論串已被刪除，且 Aevo 貼文的評論權限僅限已驗證帳戶及 Aevo 先前提及的帳戶。公司引導用戶參與正式索賠流程，而非公開討論。

從機構角度來看，這次漏洞本身就是典型的預言機配置失誤。但處理方式與 Mango、Euler 等過往壓力事件相似，技術修復比社會層面的修復來得快。

現在，透過 Aevo 進行大額交易的交易台，不僅要評估智能合約風險，還要考慮治理及社會層面的風險，尤其是涉及 Ribbon 品牌的金庫產品，因為 DAO 已經樹立了先例，舊金庫線的損失即使主交易平台和代幣仍在運營，也可能僅以面值的一小部分結算。