Wichtige Hinweise
- Die alten Ribbon DOV Vaults von Aevo verloren am 12. Dezember 2,7 Millionen Dollar, nachdem ein Oracle-Upgrade eine Schwachstelle im Smart Contract einführte.
- Alle Ribbon Vaults sind dauerhaft deaktiviert und ein sechsmonatiges Anspruchsfenster läuft bis zum 12. Juni 2026.
- Die DAO wird verbleibende Vermögenswerte liquidieren und Nutzer bis zu 19 % des fehlenden Betrags entschädigen.
Aevo , die von dem ehemaligen Ribbon Finance Team aufgebaute Derivate-Plattform, bestätigte einen Verlust von 2,7 Millionen Dollar aus ihren alten Ribbon DOV Vaults nach einem oracle-bedingten Smart Contract-Upgrade am 12. Dezember.
Wir bedauern, bestätigen zu müssen, dass die alten Ribbon DOV Vaults gestern nach einer Schwachstelle in einem Smart Contract-Update ausgenutzt wurden, was zu einem Verlust von etwa 2,7 Millionen USD führte.
Wir haben sofort Maßnahmen ergriffen, um die Ursache zu identifizieren und koordinieren uns mit CEXs und…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13. Dezember 2025
Kurz darauf teilte das Projektteam mit, dass Aevo alle Ribbon Vaults dauerhaft deaktivieren und einen begrenzten Wiederherstellungsprozess für betroffene Nutzer durchführen wird. Es wurde erklärt, dass der alte Ribbon DOV Vault am 12. Dezember aufgrund von Schwachstellen im Smart Contract eines kürzlichen Updates gehackt wurde, was zu einem Verlust von 2,7 Millionen Dollar führte.
Infolgedessen wurden alle Ribbon Vaults pausiert und sollen bald dauerhaft deaktiviert werden, mit einem sechsmonatigen Anspruchsfenster bis zum 12. Juni 2026. Der Beitrag fügt hinzu, dass die DAO verbleibende Vermögenswerte liquidieren wird, um Nutzer „bis zu 19 % des fehlenden Betrags oder des verbleibenden Saldos“ zu entschädigen, je nachdem, welcher Wert niedriger ist.
Wir haben ein Update zum Exploit der alten Ribbon DOVs, insbesondere zu den nächsten Schritten, die wir für betroffene Vault-Einleger vorschlagen.
Wenn Sie eine aktive Ribbon Vault-Position haben, lesen Sie bitte sorgfältig, da auf Ihrer Seite Maßnahmen erforderlich sind.
Alle Ribbon Vaults wurden gestoppt und…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14. Dezember 2025
Wie der Ribbon Vault Hack tatsächlich ablief
Blockchain-Ermittler rekonstruierten den Angriffsweg unter Verwendung des Exploit-Contracts bei 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE und mindestens 15 Empfängeradressen, die zuerst vom On-Chain-Analysten Specter auf X markiert wurden. Specter schrieb, dass „der alte Vertrag von @ribbonfinance insgesamt um 2,7 Millionen Dollar geleert wurde“ und listete Diebstahladressen auf, die abgezogene [NC] und Stablecoins erhielten.
Der alte Vertrag von @ribbonfinance wurde insgesamt um 2,7 Millionen Dollar geleert.
Exploit-Vertrag: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Diebstahladressen:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12. Dezember 2025
Sicherheitsberichte mehrerer Plattformen stimmen darin überein, dass der Angreifer den Oracle Proxy Admin missbrauchte, um beliebige Ablaufpreise für wstETH, AAVE, [NC] und andere Underlyings einzureichen und dann oToken-Positionen gegen Ribbons MarginPool abzurechnen, um Vermögenswerte aus den Vaults zu ziehen.
Post-Mortems weisen auf einen Dezimalstellen-Fehler hin, der sechs Tage zuvor eingeführt wurde, als Ribbon den Oracle-Pricer auf 18-Dezimalstellen-Feeds für stETH, PAXG, LINK und AAVE aktualisierte, während USDC weiterhin mit acht Dezimalstellen geführt wurde. Der Web3-Sicherheitsforscher Weilin hob hervor, dass diese Konfiguration gefälschte Ablaufpreise zu einem gemeinsamen Zeitstempel über verschiedene Vermögenswerte hinweg ermöglichte, die die Abwicklungspipeline dann als gültig für prominente Short-oToken-Positionen behandelte. Die Gelder befinden sich nun verteilt auf die ursprünglichen 15 Adressen und mehrere Konsolidierungs-Wallets, ohne dass es öffentliche Verhandlungen zur Rückgabe durch den Angreifer gibt.
Der jüngste Angriff auf @ribbonfinance scheint ein Fehler in der Oracle-Konfiguration zu sein.
Vor 6 Tagen haben die Eigentümer den Oracle-Pricer aktualisiert, der 18 Dezimalstellen für stETH, PAXG, LINK und AAVE verwendet. Andere Vermögenswerte wie USDC werden jedoch weiterhin mit 8 Dezimalstellen geführt.
Die Erstellung von OToken ist nicht ein… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13. Dezember 2025
Aevo-Kurs reagiert mit einem Rückgang
Der Markt hat Aevo bereits abgewertet. AEVO wird heute bei etwa 0,041 Dollar pro Token gehandelt, mit einem 7-Tage-Rückgang von 7 % und einer Marktkapitalisierung von 37,7 Millionen Dollar bei einem Umlaufangebot von 915,8 Millionen. Dieser Preis liegt 98,9 % unter dem Allzeithoch vom 28. März 2024 von 3,86 Dollar.
Aevo-Kurs in 7 Tagen | Quelle: CoinMarketCap
Der implizite Protokollwert liegt nun nahe am On-Chain-TVL von etwa 28,2 Millionen Dollar, was die Fehlermarge verringert, wenn die DAO einen Vault-Verlust von 32 % sozialisiert, aber nur bis zu 19 % Rückerstattung verspricht.
Community-Gegenwind gegen Ribbon-Wiederherstellungsplan
Die Reaktion der Community auf die Rückerstattungsbedingungen von 19 % ist in sozialen Kanälen und Sekundärberichten feindselig geworden.
Das ist echt beschissen, man kann nicht einfach Geld von inaktiven Konten nehmen. Was stimmt nicht mit dieser Branche?
— 0xCommodity (@0xCommodity) 14. Dezember 2025
Kommentatoren argumentieren, dass frühe Ribbon-Einleger, die Vermögenswerte in veralteten DOV Vaults auf Grundlage früherer Zusicherungen belassen haben, nun einen Abschlag von über 80 % hinnehmen müssen. Gleichzeitig betreibt Aevo weiterhin seine Hauptderivatebörse und L2-Stack unbeeinträchtigt.
"…die Konten mit den größten Einlagen sind in den letzten 2–4 Jahren inaktiv geworden, und es ist sehr wahrscheinlich, dass viele von ihnen überhaupt nicht abheben werden."
Leute heben immer noch von Saffron V1 aus dem Jahr 2020 ab. Man kann nicht einfach Geld stehlen, nur weil es eine Weile eingezahlt war. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14. Dezember 2025
Nutzer berichten außerdem, dass einige Threads gelöscht wurden und das Kommentieren von Aevo-Posts jetzt auf verifizierte Konten und zuvor von Aevo erwähnte Nutzer beschränkt ist. Das Unternehmen verweist die Nutzer auf das formelle Anspruchsverfahren statt auf offene Debatten.
Aus institutioneller Sicht sieht der Exploit selbst wie ein klassischer Oracle-Konfigurationsfehler aus. Dennoch spiegelt die Reaktion frühere Stresssituationen bei Mango , Euler und anderen wider, bei denen die technische Lösung schneller erfolgte als die soziale.
Ein Desk, der Volumen über Aevo abwickelt, muss nun nicht nur das Smart Contract-Risiko, sondern auch das Governance- und Sozialschichtenrisiko bei jedem Vault-Produkt mit Ribbon-Legacy-Branding einpreisen, da die DAO einen Präzedenzfall geschaffen hat, dass Verluste in älteren Vault-Linien zu einem Bruchteil des Nennwerts ausgeglichen werden können, selbst wenn die zentrale Handelsplattform und der Token weiterhin aktiv sind.
