币圈界报道:

Ostium金库因价格操纵漏洞被攻破,逾1800万USDC遭窃

一名黑客利用Arbitrum网络上Ostium金库的价格预言机系统缺陷,成功盗取约1800万USDC。安全机构Blockaid在X平台披露,攻击者通过注册的PriceUpKeep转发器提交了未来时间戳的虚假预言机报告,从而诱导系统发放不存在的交易收益,导致金库以真实资产进行赔付。

核心漏洞暴露:预言机签名者私钥外泄

ExVul与Defimon Alerts均确认,本次攻击的根本原因系预言机节点签名者的私钥泄露,致使攻击者可伪造合法价格数据。该事件揭示了Ostium在去中心化执行层中对高权限节点的信任依赖存在严重风险,成为攻击突破口。

损失规模存争议,多方数据指向不同结果

尽管Blockaid估算赔付总额为1800万美元,但其他机构提供不同数字:ExVul指出实际资金流出达1186万USDC,占其3430万美元总锁仓价值(TVL)的32%;而Defimon Alerts则记录损失约为2000万美元,并补充称有11,862,445 USDC被转移,反映出当前对事件影响范围仍缺乏统一共识。

平台升级与融资背景下的安全隐忧

Ostium是首个将传统金融市场敞口引入链上永续合约交易的DeFi项目之一,支持用户通过自托管钱包参与外汇、大宗商品及股票等杠杆交易。4月下旬,其推出“去中心化执行层”,实现链上订单快速路由至链下机构,延迟低于100毫秒。然而,该项目在完成由General Catalyst与Jump领投的2000万美元A轮融资后仅数月即遭遇重大安全危机,总融资额据称已达2780万美元。目前其链上锁仓价值为6333万美元,累计交易量超600亿美元。

2026年加密安全形势持续恶化,攻击频发

Ostium事件是2026年已知的第83起独立安全攻击之一,第二季度创下年度新高。数据显示,截至6月底,管理员凭证泄露与虚假价格操纵合计造成近四成损失,私钥盗窃亦占5.7%。此次攻击正属于针对特权访问权限的典型路径,凸显行业在信任机制设计上的深层挑战。Ostium已在官方渠道承认异常并暂停全部交易,团队正在调查中,但尚未公布最终损失评估。