Puntos clave
- Los antiguos Ribbon DOV vaults de Aevo perdieron 2.7 millones de dólares el 12 de diciembre después de que una actualización del oráculo introdujera una vulnerabilidad en el smart contract.
- Todos los Ribbon vaults están permanentemente deshabilitados y hay una ventana de reclamaciones de seis meses hasta el 12 de junio de 2026.
- La DAO liquidará los activos restantes y compensará a los usuarios hasta el 19% de la cantidad perdida.
Aevo, la plataforma de derivados creada por el antiguo equipo de Ribbon Finance, confirmó una pérdida de 2.7 millones de dólares de sus antiguos Ribbon DOV vaults tras una actualización de smart contract relacionada con el oráculo el 12 de diciembre.
Lamentamos confirmar que los antiguos Ribbon DOV vaults fueron explotados ayer tras una vulnerabilidad en una actualización de smart contract, resultando en una pérdida de aproximadamente 2.7 millones de dólares.
Hemos tomado medidas inmediatas para identificar la causa raíz y estamos coordinando con CEXs y…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 13 de diciembre de 2025
Poco después, el equipo del proyecto comunicó que Aevo deshabilitará permanentemente todos los Ribbon vaults y llevará a cabo un proceso de recuperación limitado para los usuarios afectados. Explicaron que el antiguo Ribbon DOV vault fue hackeado el 12 de diciembre debido a vulnerabilidades en el smart contract tras una actualización reciente, lo que llevó a una pérdida de 2.7 millones de dólares.
Como consecuencia, todos los Ribbon vaults fueron pausados y pronto serán deshabilitados permanentemente, con una ventana de reclamaciones de seis meses hasta el 12 de junio de 2026. La publicación añade que la DAO liquidará los activos restantes para compensar a los usuarios “hasta el 19% de la cantidad perdida o el saldo restante”, lo que sea menor.
Tenemos una actualización sobre el exploit de los antiguos Ribbon DOVs, específicamente los próximos pasos que proponemos para los depositantes afectados.
Si tienes una posición activa en un Ribbon vault, por favor lee cuidadosamente, ya que se requerirá acción de tu parte.
Todos los Ribbon vaults han sido detenidos y…
— Aevo (fka Ribbon Finance) (@ribbonfinance) 14 de diciembre de 2025
Cómo ocurrió realmente el hackeo de los Ribbon vaults
Investigadores de blockchain reconstruyeron la ruta del ataque utilizando el contrato exploit en 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE y al menos 15 direcciones receptoras identificadas inicialmente por el analista on-chain Specter en X. Specter escribió que “el antiguo contrato de @ribbonfinance ha sido vaciado por un total de 2.7 millones de dólares”, listando las direcciones de robo que recibieron [NC] y stablecoins drenados.
El antiguo contrato de @ribbonfinance ha sido vaciado por un total de 2.7 millones de dólares.
Contrato exploit: 0x3c212A044760DE5a529B3Ba59363ddeCcc2210bE
Direcciones de robo:
0x354ad0816de79E72452C14001F564e5fDf9a355e
0x2Cfea8EfAb822778E4e109E8f9BCdc3e9E22CCC9… pic.twitter.com/sXKDYoL4RS— Specter (@SpecterAnalyst) 12 de diciembre de 2025
Informes de seguridad de múltiples fuentes coinciden en que el atacante abusó del oracle proxy admin para enviar precios de vencimiento arbitrarios para wstETH, AAVE, [NC] y otros subyacentes, y luego liquidó posiciones oToken contra el MarginPool de Ribbon para extraer activos de los vaults.
Los análisis post-mortem apuntan a un bug de desajuste decimal introducido seis días antes, cuando Ribbon actualizó el oracle pricer a feeds de 18 decimales para stETH, PAXG, LINK y AAVE, mientras que USDC se mantuvo en ocho decimales. El investigador de seguridad Web3 Weilin destacó que la configuración permitía precios de vencimiento falsificados en una marca temporal compartida entre activos, que luego el sistema de liquidación trató como válidos para posiciones cortas prominentes de oToken. Los fondos ahora están repartidos entre las 15 direcciones originales y varias wallets de consolidación, sin negociación pública de recuperación por parte del atacante.
El último ataque a @ribbonfinance parece ser una falla de configuración del oráculo.
Hace 6 días, los propietarios actualizaron el oracle pricer que usa precios de 18 decimales para stETH, PAXG, LINK y AAVE. Sin embargo, otros activos como USDC siguen con 8 decimales.
La creación de OToken no es un… pic.twitter.com/4cpZUNTNun
— Weilin (William) Li (@hklst4r) 13 de diciembre de 2025
El precio de Aevo reacciona con una caída
El mercado ya ha descontado a Aevo. AEVO cotiza hoy a unos 0.041 dólares por token, con una caída del 7% en 7 días y una capitalización de mercado de 37.7 millones de dólares sobre una oferta circulante de 915.8 millones. Ese precio está un 98.9% por debajo del máximo histórico del 28 de marzo de 2024, de 3.86 dólares.
Precio de Aevo en 7 días | Fuente: CoinMarketCap
El valor implícito del protocolo ahora ronda el TVL on-chain de aproximadamente 28.2 millones de dólares, lo que reduce el margen de error cuando la DAO socializa una pérdida del 32% en los vaults pero solo promete hasta un 19% de reembolso.
Reacción negativa de la comunidad ante el plan de recuperación de Ribbon
La reacción de la comunidad ante los términos de recuperación del 19% se ha tornado hostil en redes sociales y reportes secundarios.
esto es una locura, no puedes simplemente tomar dinero de cuentas inactivas. ¿qué le pasa a esta industria?
— 0xCommodity (@0xCommodity) 14 de diciembre de 2025
Los comentaristas argumentan que los primeros depositantes de Ribbon, que dejaron activos en los antiguos DOV vaults basándose en garantías previas, ahora sufren una pérdida superior al 80%. Al mismo tiempo, Aevo continúa operando su principal exchange de derivados y su stack L2 sin verse afectado.
"…las cuentas con los mayores depósitos han estado inactivas durante los últimos 2–4 años, y es muy probable que muchas de ellas no retiren en absoluto."
La gente todavía está retirando de Saffron V1 desde 2020. No puedes simplemente robar dinero porque ha estado depositado un tiempo. pic.twitter.com/yZxKtsKQvw
— psykeeper 𐁉 (@psykeeper) 14 de diciembre de 2025
Los usuarios también informan que algunos hilos han sido eliminados y que ahora solo las cuentas verificadas y aquellas previamente mencionadas por Aevo pueden comentar en sus publicaciones. La compañía dirige a los usuarios hacia el proceso formal de reclamaciones en lugar de un debate abierto.
Desde una perspectiva institucional, el exploit en sí parece un caso clásico de fallo en la configuración del oráculo. Aun así, la respuesta refleja episodios de estrés previos como los de Mango, Euler y otros, donde la solución técnica llegó más rápido que la social.
Un desk que enruta volumen a través de Aevo ahora debe valorar no solo el riesgo de smart contract, sino también el riesgo de gobernanza y social en cualquier producto de vault que lleve la marca heredada de Ribbon, ya que la DAO ha sentado un precedente de que las pérdidas en líneas de vaults antiguas pueden liquidarse a una fracción de su valor nominal incluso mientras el exchange principal y el token siguen activos.
