摘要:Arbitrum上的去中心化永续合约交易所Ostium遭遇严重预言机操纵攻击,导致1800万美元USDC被窃。攻击者利用未来时间戳伪造价格数据,绕过系统验证,引发行业对自动化组件安全性的广泛担忧。

币圈界报道:
Ostium协议因预言机操控损失1800万美元稳定币
在一次针对去中心化金融基础设施的精密攻击中,Arbitrum网络上的永续合约平台Ostium遭遇重大资金外流,其流动性金库中的1800万美元USDC被非法提取。
攻击者通过篡改时间戳操控价格反馈机制
区块链安全机构Blockaid首次披露该事件,指出攻击核心在于协议中负责实时更新资产价格的自动化组件——PriceUpKeep转发器。攻击者提交了带有未来时间戳的虚假价格报告,使系统误判亏损交易为盈利状态。
这一操作触发了协议内部的结算逻辑,从而授权了一笔巨额资金拨付。分析显示,攻击者利用了具备特权权限的自动化节点身份,成功将虚构的价格信号注入链上合约。
通过注册并控制合法的PriceUpKeep实例,攻击者推送经过篡改的时间锚定数据,迫使系统认定存在未实现收益,并据此从金库中提取大额USDC资产。
该事件再次暴露了当前DeFi生态中依赖外部现实世界数据自动上链所带来的固有风险,尤其是在缺乏多重验证机制的情况下。
自动化组件成新型攻击入口
Ostium作为Arbitrum生态内的衍生品协议,支持黄金、外汇及股票指数等实物资产的高杠杆永续合约交易,采用USDC进行结算,用户可享受最高200倍杠杆。
此类协议高度依赖第三方自动化网络如Gelato,将外部市场价格实时写入链上合约。每当用户执行交易时,由中心化组件负责调用最新报价并上链,形成关键信任节点。
近年来,恶意行为者越来越多地瞄准这些“可信”自动化服务,试图通过劫持或伪装其身份,在时间窗口或数据内容上制造偏差,从而伪造交易结果并诱导非法资金提取。
类似漏洞已多次重现:就在同月,Summer.fi也因相同类型的Keeper与预言机系统缺陷遭受攻击,损失达600万美元。
协议发展背景与安全隐忧并存
在此次事件发生前,Ostium已完成总计2780万美元融资,其中2400万美元来自General Catalyst与Jump Crypto于2025年底主导的A轮融资。平台累计交易量突破500亿美元,反映出市场对链上真实资产挂钩产品的强烈需求。
尽管业务快速扩张,但其对复杂自动化系统的深度依赖也带来了显著安全隐患。目前,相关调查正在进行,尚无明确线索指向攻击者身份,追回被盗资产的可能性仍不明朗。
此类事件持续警示业界:当大量投资者资金托管于由自动化脚本驱动的系统中时,一旦底层组件被攻破,后果将极为严重。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
