币圈界报道:

Ostium协议因预言机操控损失1800万美元稳定币

在一次针对去中心化金融基础设施的精密攻击中,Arbitrum网络上的永续合约平台Ostium遭遇重大资金外流,其流动性金库中的1800万美元USDC被非法提取。

攻击者通过篡改时间戳操控价格反馈机制

区块链安全机构Blockaid首次披露该事件,指出攻击核心在于协议中负责实时更新资产价格的自动化组件——PriceUpKeep转发器。攻击者提交了带有未来时间戳的虚假价格报告,使系统误判亏损交易为盈利状态。

这一操作触发了协议内部的结算逻辑,从而授权了一笔巨额资金拨付。分析显示,攻击者利用了具备特权权限的自动化节点身份,成功将虚构的价格信号注入链上合约。

通过注册并控制合法的PriceUpKeep实例,攻击者推送经过篡改的时间锚定数据,迫使系统认定存在未实现收益,并据此从金库中提取大额USDC资产。

该事件再次暴露了当前DeFi生态中依赖外部现实世界数据自动上链所带来的固有风险,尤其是在缺乏多重验证机制的情况下。

自动化组件成新型攻击入口

Ostium作为Arbitrum生态内的衍生品协议,支持黄金、外汇及股票指数等实物资产的高杠杆永续合约交易,采用USDC进行结算,用户可享受最高200倍杠杆。

此类协议高度依赖第三方自动化网络如Gelato,将外部市场价格实时写入链上合约。每当用户执行交易时,由中心化组件负责调用最新报价并上链,形成关键信任节点。

近年来,恶意行为者越来越多地瞄准这些“可信”自动化服务,试图通过劫持或伪装其身份,在时间窗口或数据内容上制造偏差,从而伪造交易结果并诱导非法资金提取。

类似漏洞已多次重现:就在同月,Summer.fi也因相同类型的Keeper与预言机系统缺陷遭受攻击,损失达600万美元。

协议发展背景与安全隐忧并存

在此次事件发生前,Ostium已完成总计2780万美元融资,其中2400万美元来自General Catalyst与Jump Crypto于2025年底主导的A轮融资。平台累计交易量突破500亿美元,反映出市场对链上真实资产挂钩产品的强烈需求。

尽管业务快速扩张,但其对复杂自动化系统的深度依赖也带来了显著安全隐患。目前,相关调查正在进行,尚无明确线索指向攻击者身份,追回被盗资产的可能性仍不明朗。

此类事件持续警示业界:当大量投资者资金托管于由自动化脚本驱动的系统中时,一旦底层组件被攻破,后果将极为严重。