Wydajemy ważną korektę do naszego wcześniejszego ogłoszenia dotyczącego exploita Ribbon DOVs. Nasza początkowa analiza była zasadniczo błędna, a naszej społeczności należy się zarówno przeprosiny, jak i wyjaśnienie. W naszej pilności do odpowiedzi na exploit, nie zrozumieliśmy prawidłowo alokacji funduszy przed komunikacją. Doprowadziło to do opublikowania ram rozwiązania, które, jak się okazuje, nie odzwierciedla rzeczywistości. To był nasz błąd: poszkodowani użytkownicy zasługiwali na dokładne informacje od samego początku, a my ich zawiedliśmy. Przepraszamy za ten błąd. Po przeprowadzeniu kompleksowego przeglądu, możemy teraz przedstawić dokładny opis sytuacji. Vaulty Ribbon działały z trzema odrębnymi pulami funduszy: - aktywne fundusze, wdrażane co tydzień w celu realizacji strategii vaultu; - oczekujące wypłaty, które składały się z funduszy, które użytkownicy już zażądali do wypłaty i były trzymane osobno, w oczekiwaniu na finalizację; - wstrzymane fundusze, które nie były aktywnie alokowane ani oczekujące. Kluczowe jest to, że oczekujące i wstrzymane fundusze pozostały nietknięte przez exploit. Exploit dotknął tylko aktywnych funduszy, które łącznie wyniosły około 2,7 miliona dolarów we wszystkich vaultach (w tym około 400 tysięcy dolarów trzymanych przez DAO). Ta aktywna część została całkowicie wyczerpana, podczas gdy oczekujące i wstrzymane fundusze pozostają nienaruszone. Około 350 tysięcy dolarów w funduszach jest trzymane w kontrakcie wstrzymania vaultu (wstrzymane fundusze). Użytkownicy z funduszami w kontrakcie wstrzymania będą mogli je w pełni odzyskać, jednak będzie to wymagało aktualizacji kontraktu. Ogłosimy, gdy aktualizacja zostanie wdrożona; w międzyczasie prosimy o cierpliwość. Rozumiemy implikacje tego, co zamierzamy powiedzieć, i nie mówimy tego lekko: - Jeśli złożyłeś wniosek o wypłatę przed exploitem, możesz go sfinalizować i odzyskać 100% swoich funduszy. Kolejka obecnie trzyma około 4,3 miliona dolarów w różnych aktywach; - Jeśli wstrzymałeś swoje fundusze, będziesz mógł je w pełni wypłacić, w oczekiwaniu na aktualizację kontraktu (proszę czekać na nasze ogłoszenie); - Jeśli nie złożyłeś wniosku o wypłatę ani nie wstrzymałeś przed exploitem, twoje aktywne fundusze zostały całkowicie utracone. Uznajemy, jak niszczące to jest dla osób dotkniętych. Nie ma sposobu, aby złagodzić całkowitą stratę, i nie będziemy udawać inaczej. Po exploicie przedstawiciele DAO złożyli skargi do odpowiednich organów i powiadomili wszystkie scentralizowane giełdy, z którymi miał kontakt exploiter. DAO pozostaje również zobowiązane do angażowania swoich członków w potencjalne ścieżki naprawcze dla deponentów vaultów. Jeśli chcesz zaproponować inicjatywę naprawczą, zachęcamy do złożenia propozycji zarządzania zgodnie z ustalonym procesem. Jeszcze raz przepraszamy za wcześniejsze dezinformacje.

Mamy aktualizację w sprawie exploitu legacy Ribbon DOVs, a konkretnie następnych kroków, które proponujemy dla poszkodowanych deponentów vaultów. Jeśli masz aktywną pozycję w vaultach Ribbon, prosimy o uważne przeczytanie, ponieważ wymagana będzie akcja z Twojej strony. Wszystkie vaulty Ribbon zostały zatrzymane i zostaną wycofane ze służby ze skutkiem natychmiastowym. Uprzejmie zapraszamy do wypłaty swoich funduszy zgodnie z standardową procedurą wypłaty. Zauważ, że wypłaty będą wymagały aktualizacji kontraktu, która będzie dostępna w przyszłym tygodniu (ogłosimy to). Vaulty poniosły około 32% strat z powodu exploitu. Proponujemy jednak, aby wypłaty podlegały jedynie 19% redukcji wartości Twojej pozycji w momencie ataku. Jesteśmy w stanie zaoferować tę mniejszą redukcję z dwóch powodów. Po pierwsze, proponujemy zrzeczenie się własnych pozycji vaultów DAO (około 400 tys. dolarów w różnych aktywach), aby częściowo zrekompensować kradzież, co zmniejsza netto skradzioną kwotę do 2,3 mln dolarów. Po drugie, na podstawie naszych dowodów, konta z największymi depozytami stały się nieaktywne w ciągu ostatnich 2–4 lat i jest bardzo prawdopodobne, że wiele z nich w ogóle nie wypłaci środków. Proponujemy priorytetowe traktowanie aktywnych użytkowników, przyznając im mniejszą redukcję z góry. Biorąc pod uwagę oczekiwaną stopę nieaktywności, istnieje duża szansa, że użytkownicy, którzy wypłacą środki w trakcie okna roszczeniowego, ostatecznie zostaną w pełni zrekompensowani po ostatecznej dystrybucji. Okno roszczeniowe będzie otwarte przez sześć miesięcy, od 12 grudnia do 12 czerwca. W tym okresie możesz wypłacać środki z ustaloną 19% redukcją, dopóki fundusze będą dostępne. Po 12 czerwca DAO zlikwiduje wszystkie pozostałe aktywa i rozdzieli je między użytkowników, którzy wcześniej wypłacili środki, rekompensując do brakujących 19% lub tyle, ile pozostanie dostępne. Biorąc pod uwagę okoliczności, uważamy, że ta proponowana rezolucja stanowi najlepszy możliwy wynik dla deponentów vaultów. Proszę pamiętać, że DAO, jako właściciel vaultów, nigdy nie obiecywało ani nie oferowało ubezpieczenia na depozyty. Podczas gdy wycofujemy te vaulty, podstawowy stos technologiczny pozostaje własnością DAO. Możemy zaproponować nową wdrożenie w przyszłości. Jeśli jesteś deponentem vaultu i nie jesteś zadowolony z tej proponowanej ścieżki, możesz złożyć propozycję zarządzania zgodnie z ustalonymi wytycznymi, aby zaproponować inne rozwiązanie. Proszę złożyć wszelkie alternatywne propozycje do piątku, 19 grudnia. Dziękujemy jeszcze raz za Twoją cierpliwość i zrozumienie.

Z przykrością potwierdzamy, że wczoraj doszło do wykorzystania starych skarbców Ribbon DOV w wyniku luki w aktualizacji kontraktu smart, co spowodowało stratę około 2,7 miliona USD. Natychmiast podjęliśmy działania, aby zidentyfikować przyczynę i współpracujemy z CEX-ami oraz partnerami ds. bezpieczeństwa, aby zapewnić, że skradzione fundusze są śledzone i oznaczone. Chociaż sprawca ominął naszą istniejącą nagrodę Immunefi, oferta pozostaje otwarta na potencjalne rozwiązanie whitehat. Do użytkowników i stakerów Aevo: giełda nie została w żaden sposób dotknięta i pozostaje w pełni bezpieczna i operacyjna. Dla deponentów Ribbon Legacy obecnie definiujemy najlepszy sposób działania; prosimy o oczekiwanie na aktualizację w ciągu najbliższych 24 godzin. Jeśli masz pytania, wsparcie jest dostępne za pośrednictwem DM-ów lub naszego systemu zgłoszeń na giełdzie. Pełna analiza po incydencie zostanie wkrótce opublikowana. Dziękujemy za cierpliwość, podczas gdy rozwiązujemy tę sytuację.