GoPlus：疑似「プロジェクト側の管理アドレスがハッカーに制御された」ため、Ribbon Financeが攻撃を受けた

GoPlus 日本コミュニティは、ソーシャルメディアで分散型オプションプロトコル Ribbon Finance が攻撃を受けた原理を分析しました。

攻撃者はアドレス 0x657CDE を通じて価格代理契約を悪意のある実装契約にアップグレードし、その後 stETH、Aave、PAXG、LINK の4つのトークンの満期を 2025 年 12 月 12 日 16:00:00（UTC+8）に設定し、満期価格を改ざんしました。誤った価格を利用して攻撃を実施し利益を得ました。

注目すべきは、プロジェクト側の契約が作成された際、攻撃アドレスの _transferOwnership 状態値がすでに true に設定されており、これにより契約の安全性検証を通過できるようになっていたことです。分析によると、この攻撃アドレスは元々プロジェクト側の管理アドレスの一つであり、その後ハッカーによって社会工学的攻撃などの手段で制御され、今回の攻撃に利用された可能性があります。