Activos
Depósito cripto
Comprar Cripto
Convertir
Transferencia
Retirar
Mis cupones
Historial de fondos
Dashboard
Seguridad de la cuenta
Verificación de identidad
Administración API
Informe de transacciones
Cerrar sesión
registrarme
BTCC / BTCC Square / CryptopolitanES /
Ribbon Finance, antes Aevo, sufre un ataque DeFi de 2,7 millones de dólares: ¿Un revés temporal o una alerta sistémica?

Ribbon Finance, antes Aevo, sufre un ataque DeFi de 2,7 millones de dólares: ¿Un revés temporal o una alerta sistémica?

Author:
CryptopolitanES
Published:
2025-12-13 10:42:50
19
1

Ribbon Finance, anteriormente Aevo, pierde 2,7 millones de dólares en un ataque DeFi

La plataforma de opciones descentralizadas Ribbon Finance, anteriormente conocida como Aevo, registra una brecha de seguridad que drena 2,7 millones de dólares de sus pools de liquidez. El incidente sacude la confianza en los protocolos de derivados DeFi justo cuando el sector busca consolidarse.

El mecanismo del ataque

Los explotadores manipularon un fallo en la lógica de contratos inteligentes para crear y canjear tokens sintéticos de forma fraudulenta. La maniobra eludió los controles de colateralización, permitiendo un drenaje directo de fondos. El equipo de Ribbon Finance confirmó la suspensión inmediata de todos los depósitos y está trabajando con analistas de blockchain para rastrear los fondos.

El impacto en el ecosistema

El ataque no solo representa una pérdida cuantificable, sino un golpe a la narrativa de madurez en el segmento de derivados DeFi. Plataformas competidoras han reportado un aumento en las consultas de usuarios sobre seguridad y auditorías. En el mundo de las finanzas tradicionales, 2,7 millones podrían ser un error de contabilidad en una tarde tranquila; en DeFi, es un recordatorio crudo de que el código es ley, y a veces la ley tiene agujeros.

La respuesta y el camino a seguir

El protocolo activó su plan de contingencia y está evaluando opciones de compensación para los afectados. Este evento probablemente acelerará la migración hacia arquitecturas de contratos más modularizadas y con múltiples auditorías. La resiliencia de DeFi se construye no evitando los fallos, sino respondiendo a ellos con transparencia y mejoras iterativas. El próximo movimiento de Ribbon Finance definirá si este episodio fue un tropiezo en su crecimiento o una herida de consideración.

La mejora del precio del oráculo de Ribbon Finance tenía debilidades

Seis días antes del ataque, el equipo de Ribbon Finance actualizó el sistema de precios de oráculos para que admitiera 18 decimales para stETH, PAXG, LINK y AAVE . Sin embargo, otros activos, como USDC, seguían con ocho decimales y, según Zhou, la discrepancia en la precisión decimal contribuyó a la vulnerabilidad explotada el viernes.

El último a @ribbonfinance parece ser un error de configuración de Oracle.

Hace 6 días, los propietarios actualizaron el sistema de precios del oráculo, que utiliza precios de 18 decimales para stETH, PAXG, LINK y AAVE. Sin embargo, el precio de otros activos, como el USDC, sigue en 8 decimales.

La creación de OToken no es una… pic.twitter.com/4cpZUNTNun

- Weilin (William) Li (@ hklst4r) 13 de diciembre de 2025

Según un desarrollador seudónimo que usa el nombre de usuario Weilin en X, la creación de oTokens en sí no era ilegal porque cada token subyacente debe estar en la lista blanca antes de ser utilizado como garantía o activo de ataque, un procedimiento que el atacante siguió al pie de la letra.

La actividad maliciosa comenzó con la creación de productos de opciones mal estructurados, donde un producto consistía en una opción de compra de stETH con un strike de 3.800 USDC, colateralizada con WETH, con vencimiento el 12 de diciembre. El atacante luego creó varios oTokens para estas opciones, que luego fueron explotados para drenar el protocolo.

El ataque implicó interacciones repetidas con eltracde administración del proxy en 0x9D7b…8ae6B76. Se utilizaron funciones como transferOwnership y setImplementation para manipular los proxies de alimentación de precios mediante llamadas de delegado. El hacker invocó una implementación para que el oráculo estableciera los precios de vencimiento de los activos en la misma fecha y generara eventos ExpiryPriceUpdated que confirmaran las valoraciones fraudulentas.

Los precios manipulados hicieron que el sistema reconociera que stETH estaba muy por encima del precio de ejercicio y quemó 225 oTokens, generando 22.468662541163160869 WETH. En total, el hackertracaproximadamente 900 ETH mediante este método.

La firma de seguridad Web3, Spectre, detectó las transferencias iniciales a una dirección de billetera en 0x354ad…9a355e, pero desde allí, el dinero se distribuyó a 14 cuentas más, muchas de las cuales contenían alrededor de 100,1 ETH cada una. Algunos de los fondos robados ya han ingresado a lo que Zhou, de la blockchain, denominó "TC" o fondos de consolidación de tesorería.

Creador de protocolos de préstamos DeFi : La dApp de Opyn no se vio comprometida 

Según el desarrollador de Monarch DeFi Anton Cheng, la aplicación descentralizada Opyn, respaldada por Coinbase, no se vio comprometida como se rumoreaba en las conversaciones en Crypto Twitter.

Le eché un vistazo al truco de Ribbon, ya que podría ser el responsable. Esto es lo que he encontrado hasta ahora:

1. @opyn_ no fue hackeado; en realidad es una bifurcación de @ribbonfinance_ .
2. El hackeo fue provocado principalmente por un código de oráculo actualizado que permitía a cualquiera establecer precios para nuevos activos.

Esto, cuando… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP

– Anton Cheng (@antonttc) 13 de diciembre de 2025

Cheng explicó que el hackeo de Ribbon Finance se vio facilitado por un código oracular actualizado que, sin darse cuenta, permitía a cualquier usuario fijar precios para los activos recién añadidos. Destacó que el ataque comenzó con una transacción preparatoria para "preparar el terreno" generando oTokens mal estructurados con garantías legítimas y activos de strike. Continuó afirmando que los tokens falsos permitieron al hacker seleccionar subyacentes conocidos como AAVE para evitar ser detectado. 

El hacker creó tres "subcuentas", cada una con una garantía mínima para generar las tres opciones. Todas las subcuentas estaban marcadas como tipo 0, lo que significa que estaban completamente garantizadas, pero la ausencia de un límite máximo de pago para cada cuenta u oToken le permitió vaciar activos sin restricciones.

Bajo los sistemas Gamma de Opyn, el activo subyacente debe coincidir con la garantía de las opciones de compra y el precio de ejercicio de las opciones de venta para mantener a los vendedores completamente asegurados. Si un oráculo se ve comprometido, solo los vendedores de ese producto específico se verán afectados.

Sin embargo, en este caso, la combinación de la creación del nuevo oToken y el oráculo manipulado fueron suficientes para eludir estas protecciones.

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.

|Square

Descárguese la aplicación BTCC para empezar su trayectoria cripto

Download on the App Store GEI IT ON Google Play

Empiece hoy mismo Escanéelo y únase a más de 100 millones de usuarios

Exchange for a better future

Productos
Servicios
Guías
Sobre nosotros
Términos y acuerdo de servicio
Servicio de atención al cliente

Advertencia de riesgo: El comercio de activos digitales es una industria emergente con brillantes perspectivas de futuro, pero también trae aparejada grandes riesgos, ya que se trata de un mercado totalmente nuevo. Este riesgo es especialmente alto al realizar operaciones con apalancamiento, ya que el apalancamiento magnifica los beneficios pero, al mismo tiempo, también amplifica los riesgos. Antes de abrir una posición de inversión, asegúrese de conocer bien la industria, los modelos de trading con apalancamiento y las reglas de trading. Además, también le recomendamos encarecidamente que determine cuál es su tolerancia personal al riesgo y que solo corra los riesgos que esté dispuesto a asumir. Toda inversión u operación conlleva riesgos. Por lo tanto, debe ser prudente al entrar en el mercado.

El intercambio de criptomonedas más antiguo del mundo desde 2011. © 2011 - 2025 BTCC.com. All rights reserved

Descargo de responsabilidad: Los artículos reproducidos en este sitio provienen de redes públicas y se comparten únicamente con el propósito de transmitir información sectorial, sin representar una posición oficial de BTCC. Los derechos de autor corresponden a sus respectivos creadores. Si detecta contenido que infringe derechos de autor o resulta cuestionable, contacte con nosotros en [email protected] para que podamos proceder de acuerdo con la ley. BTCC no garantiza la exactitud, actualidad o integridad de la información reproducida y declina cualquier responsabilidad, expresa o implícita, derivada del uso de dicha información. Todo el contenido se proporciona como referencia para la investigación sectorial y no constituye una recomendación de inversión, legal o comercial. BTCC no se hace responsable de las acciones emprendidas en base a esta información.