Recommandé

Dépôt de cryptos Effectuez des transferts de cryptos instantanés sur votre compte de contrats à terme
USDT-M Contrats à terme perpétuels Négocier des contrats à terme en USDT
Réductions des frais VIP Profitez de différentes réductions de frais en fonction de votre niveau VIP
Monnaie-M Contrats à terme perpétuels Négocier des contrats à terme en cryptos
Acheter Crypto Achetez vos monnaies préférées en quelques secondes
Affiliés Invitez des amis et gagnez des récompenses
Convertir Convertissez votre crypto instantanément
Centre d'assistance Consultez notre FAQ ici
Annonces Consulter toutes nos annonces officielles
Académie de BTCC En savoir plus sur la blockchain et la crypto
Actualités Les dernières tendances du marché de la crypto

Promotions

Parrainage
Campagnes
inscrire
BTCC / BTCC Square / CryptopolitanFR /
Ribbon Finance (ex-Aevo) essuie un piratage DeFi à 2,7 millions de dollars : la sécurité des protocoles en question

Ribbon Finance (ex-Aevo) essuie un piratage DeFi à 2,7 millions de dollars : la sécurité des protocoles en question

Author:
CryptopolitanFR
Published:
2025-12-13 10:42:50

Un nouvel exploit frappe le secteur DeFi. Ribbon Finance, la plateforme de produits structurés autrefois connue sous le nom d'Aevo, a subi une attaque ciblant ses pools de liquidités, entraînant une perte estimée à 2,7 millions de dollars.

Les détails de l'exploit

L'attaque, survenue le 12 décembre, a exploité une vulnérabilité dans un contrat intelligent lié à la gestion des collatéraux. Les pirates ont réussi à drainer des fonds en manipulant les mécanismes de prix oracle, contournant ainsi les contrôles de sécurité habituels. L'équipe de Ribbon Finance a immédiatement suspendu les dépôts affectés et lancé une enquête en collaboration avec des sociétés de sécurité blockchain.

Impact sur le marché et réactions

La nouvelle a provoqué une baisse immédiate de plus de 15% du token natif RBN. Les utilisateurs du protocole s'interrogent sur les mesures de remboursement, tandis que les concurrents mettent en avant leurs propres audits de sécurité – une danse habituelle après chaque piratage qui rappelle que, dans la finance décentralisée, le code est loi, et parfois, la loi a des bugs coûteux.

Un rappel sévère pour l'écosystème

Cet incident souligne le défi permanent de la sécurité dans le DeFi, où l'innovation rapide dépasse souvent les cadres de protection. Alors que Ribbon Finance tente de contenir les dégâts et de rétablir la confiance, la communauté retient son souffle, se demandant quel protocole sera le prochain sur la liste – et si les leçons des exploits passés seront enfin apprises, ou simplement monétisées par les prochains auditeurs.

La révision à la hausse du prix de l'oracle de Ribbon Finance présentait des faiblesses.

Six jours avant l'attaque, l'équipe de Ribbon Finance a mis à jour son système de tarification oracle afin de prendre en charge 18 décimales pour stETH, PAXG, link et AAVE . Cependant, d'autres actifs, comme l'USDC, restaient à huit décimales. Selon Zhou, cet écart de précision a contribué à la vulnérabilité exploitée vendredi.

La dernière @ribbonfinance semble être due à un défaut de configuration de l'oracle.

Il y a six jours, les propriétaires ont mis à jour le système de tarification Oracle, qui utilise désormais 18 décimales pour stETH, PAXG, LINK et AAVE. Cependant, le prix d'autres actifs, comme l'USDC, reste à 8 décimales.

La création d'OToken n'est pas… pic.twitter.com/4cpZUNTNun

– Weilin (William) Li (@hklst4r) 13 décembre 2025

Selon un développeur pseudonyme utilisant le nom d'utilisateur Weilin sur X, la création des oTokens eux-mêmes n'était pas illégale car chaque jeton sous-jacent doit être sur liste blanche avant d'être utilisé comme garantie ou comme actif de frappe, une procédure que l'attaquant a suivie à la lettre.

L'activité malveillante a commencé par la création de produits d'options mal structurés, dont un produit consistait en une option d'achat steth avec un prix d'exercice de 3 800 USDC, garantie par du WETH, et arrivant à échéance le 12 décembre. L'attaquant a ensuite créé plusieurs oTokens pour ces options, qui ont été exploités ultérieurement pour vider le protocole.

L'attaque a consisté en des interactions répétées avec le contrat d'administration du proxy à l'trac0x9D7b…8ae6B76. Certaines fonctions, telles que `transferOwnership` et `setImplementation`, ont été utilisées pour manipuler les proxys de flux de prix via des appels de délégués. Le pirate a invoqué une implémentation de l'oracle afin de définir les prix d'expiration des actifs au même horodatage, provoquant ainsi des événements `ExpiryPriceUpdated` qui ont confirmé les évaluations frauduleuses.

La manipulation des prix a incité le système à considérer le stETH comme étant largement supérieur au prix d'exercice, ce qui a entraîné la destruction de 225 oTokens et la production de 22,468662541163160869 WETH. Au total, le pirate a ainsitracenviron 900 ETH.

La société de sécurité Web3 Spectre a repéré les premiers transferts vers une adresse de portefeuille à l'adresse 0x354ad…9a355e. De là, l'argent a été distribué vers 14 autres comptes, dont beaucoup détenaient environ 100,1 eth chacun. Une partie des fonds volés a déjà été intégrée à ce que la blockchain Zhou a appelé des « TC », ou pools de consolidation de trésorerie.

Opyn, développeur de protocoles de prêt DeFi , a déclaré que son application décentralisée n'avait pas été compromise. 

Selon Anton Cheng, développeur chez Monarch DeFi , l'application décentralisée Opyn, soutenue par Coinbase, n'a pas été compromise comme le laissaient entendre les rumeurs qui circulaient sur Crypto Twitter.

J'ai jeté un œil au piratage de Ribbon, car je pourrais en être responsable. Voici ce que j'ai trouvé jusqu'à présent :

1. @opyn_ n'a pas été piraté ; il s'agit en fait d'un fork de @ribbonfinance_ .
2. Le piratage a été principalement déclenché par une mise à jour du code de l'oracle qui permettait à quiconque de fixer les prix de nouveaux actifs.

Ceci, quand… https://t.co/AcF2p495OM pic.twitter.com/BH2rAvNPmP

– Anton Cheng (@antonttc) 13 décembre 2025

Cheng a expliqué que le piratage de Ribbon Finance a été facilité par une mise à jour du code de l'oracle qui, par inadvertance, permettait à n'importe quel utilisateur de fixer le prix des actifs nouvellement ajoutés. Il a indiqué que l'attaque avait débuté par une transaction préparatoire visant à « préparer le terrain » en générant des oTokens mal structurés avec des actifs de garantie et de prix d'exercice légitimes. Il a ajouté que ces faux tokens ont permis au pirate de choisir des sous-jacents connus comme aave afin d'éviter d'attirer l'attention et d'être repéré. 

Le pirate a ensuite créé trois « sous-comptes », chacun déposé avec un montant minimal de garantie pour émettre les trois options. Tous les sous-comptes étaient de type 0, c’est-à-dire entièrement garantis, mais l’absence de limite de retrait maximale pour chaque compte ou oToken a permis au pirate de détourner les fonds sans aucune restriction.

Dans le système Gamma d'Opyn, l'actif sous-jacent doit correspondre au collatéral des options d'achat et au prix d'exercice des options de vente afin de garantir la pleine couverture des vendeurs. Si un oracle est compromis, seuls les vendeurs de ce produit spécifique sont censés être affectés.

Pourtant, dans ce cas précis, la combinaison de la création d'un nouveau jeton oToken et de l'oracle manipulé a suffi à contourner ces protections.

Ne vous contentez pas de lire l'actualité crypto. Apprenez-en plus. Abonnez-vous à notre newsletter. C'est gratuit .

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GEI IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client
Médias sociaux

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2025 BTCC.com. All rights reserved