Stiamo emettendo una correzione importante al nostro precedente annuncio riguardante l'exploit dei Ribbon DOV. La nostra analisi iniziale era fondamentalmente errata e dobbiamo alla nostra comunità sia una scusa che una spiegazione. Nella nostra urgenza di rispondere all'exploit, non siamo riusciti a comprendere correttamente l'allocazione dei fondi prima di comunicare. Questo ci ha portato a pubblicare un framework di risoluzione che, a quanto pare, non riflette la realtà. È stato un errore da parte nostra: gli utenti colpiti meritavano informazioni accurate fin dall'inizio e li abbiamo delusi. Ci scusiamo per questo errore. Dopo una revisione completa, ora possiamo fornire un resoconto accurato della situazione. I vault di Ribbon operavano con tre distinti pool di fondi: - fondi attivi, distribuiti settimanalmente per eseguire la strategia del vault; - prelievi in coda, che consistevano in fondi che gli utenti avevano già richiesto di prelevare e che erano tenuti separatamente, in attesa di finalizzazione; - fondi in pausa, non attivamente allocati né in coda. Fondamentalmente, i fondi in coda e in pausa sono rimasti intatti dall'exploit. L'exploit ha colpito solo i fondi attivi, che ammontavano a circa $2,7M in tutti i vault (inclusi circa $400K detenuti dal DAO). Questa porzione attiva è stata completamente drenata, mentre i fondi in coda e in pausa rimangono intatti. Circa $350K in fondi sono detenuti nel contratto di pausa del vault (fondi in pausa). Gli utenti con fondi nel contratto di pausa potranno recuperarli completamente, tuttavia questo richiederà un aggiornamento del contratto. Annunceremo una volta che l'aggiornamento sarà implementato; nel frattempo, vi preghiamo di attendere. Comprendiamo le implicazioni di ciò che stiamo per dire e non lo diciamo a cuor leggero: - Se avevi messo in coda un prelievo prima dell'exploit, puoi finalizzarlo e recuperare il 100% dei tuoi fondi. La coda attualmente detiene circa $4,3M in vari asset; - Se avevi messo in pausa i tuoi fondi, potrai prelevarli completamente, in attesa di un aggiornamento del contratto (attendi il nostro annuncio); - Se non avevi messo in coda un prelievo o non avevi messo in pausa prima dell'exploit, i tuoi fondi attivi sono stati completamente persi. Riconosciamo quanto sia devastante questo per coloro che sono stati colpiti. Non c'è modo di inquadrare che attenui una perdita totale e non pretenderemo il contrario. Dopo l'exploit, i rappresentanti del DAO hanno presentato denunce alle autorità competenti e hanno notificato tutti gli exchange centralizzati con cui l'exploiter ha interagito. Il DAO rimane anche impegnato a coinvolgere i propri membri su potenziali percorsi futuri per i depositanti del vault. Se desideri proporre un'iniziativa di rimedio, ti incoraggiamo a presentare una proposta di governance attraverso il processo stabilito. Ancora una volta, ci scusiamo per la precedente disinformazione.

Abbiamo un aggiornamento sull'exploit dei legacy Ribbon DOVs, in particolare sui prossimi passi che proponiamo per i depositanti delle vault colpite. Se hai una posizione attiva nella vault Ribbon, ti preghiamo di leggere attentamente, poiché sarà necessaria un'azione da parte tua. Tutte le vault Ribbon sono state fermate e saranno dismesse con effetto immediato. Ti invitiamo gentilmente a ritirare i tuoi fondi attraverso la procedura di prelievo standard. Tieni presente che i prelievi richiederanno un aggiornamento del contratto, che sarà disponibile la prossima settimana (annunceremo). Le vault hanno subito circa il 32% di perdite a causa dell'exploit. Tuttavia, proponiamo che i prelievi siano soggetti a una riduzione del solo 19% sul valore della tua posizione al momento dell'hack. Siamo in grado di offrire questo taglio minore per due motivi. Primo, proponiamo di rinunciare alle posizioni della vault del DAO stesso (circa $400k in vari asset) per compensare parzialmente il furto, riducendo l'importo netto rubato a $2.3M. Secondo, sulla base delle nostre evidenze, i conti con i depositi più grandi sono rimasti inattivi negli ultimi 2–4 anni, ed è molto probabile che molti di essi non ritireranno affatto. Proponiamo di dare priorità agli utenti attivi concedendo loro una riduzione minore inizialmente. Data l'aspettativa di un tasso di inattività, c'è una forte possibilità che gli utenti che ritireranno durante la finestra di richiesta saranno infine risarciti dopo la distribuzione finale. La finestra di richiesta rimarrà aperta per sei mesi, dal 12 dicembre al 12 giugno. Durante questo periodo, puoi ritirare con una riduzione fissa del 19%, finché i fondi dureranno. Dopo il 12 giugno, il DAO liquiderà tutti gli asset rimanenti e li distribuirà agli utenti che hanno precedentemente ritirato, compensando fino al 19% mancante o quanto rimane disponibile. Date le circostanze, riteniamo che questa proposta di risoluzione rappresenti il miglior risultato possibile per i depositanti delle vault. Ti ricordiamo che il DAO, in quanto proprietario delle vault, non ha mai promesso né offerto assicurazione sui depositi. Mentre stiamo dismettendo queste vault, lo stack tecnologico sottostante rimane di proprietà del DAO. Potremmo proporre un nuovo deployment in futuro. Se sei un depositante della vault e non sei soddisfatto di questo percorso proposto, puoi presentare una proposta di governance seguendo le linee guida stabilite per proporre una soluzione diversa. Ti preghiamo di presentare eventuali proposte alternative entro venerdì 19 dicembre. Grazie ancora per la tua pazienza e comprensione.

Siamo spiacenti di confermare che i vault legacy Ribbon DOV sono stati sfruttati ieri a seguito di una vulnerabilità in un aggiornamento del contratto intelligente, con una perdita di circa $2.7M USD. Abbiamo immediatamente preso provvedimenti per identificare la causa principale e stiamo coordinando con CEX e partner di sicurezza per garantire che i fondi rubati siano tracciati e contrassegnati. Sebbene il perpetratore abbia eluso il nostro bounty esistente di Immunefi, l'offerta rimane aperta per una potenziale risoluzione whitehat. Agli utenti e staker di Aevo: l'exchange non è stato in alcun modo impattato e rimane completamente sicuro e operativo. Per i depositanti di Ribbon Legacy, stiamo attualmente definendo il miglior corso d'azione; si prega di aspettarsi un aggiornamento entro le prossime 24 ore. Se avete domande, il supporto è disponibile tramite DM o il nostro sistema di ticketing sull'exchange. Un'analisi completa seguirà a breve. Grazie per la vostra pazienza mentre risolviamo questo.