摘要:Ostium因预言机签名密钥被攻破,导致近1800万美元USDC被提取,协议已暂停交易。安全公司Blockaid指出,攻击者利用受信预言机机制绕过验证,通过价格操纵实现多轮套利,凸显去中心化金融中外部数据源的安全隐患。

币圈界报道:
Ostium预言机密钥遭入侵,超1800万美元稳定币被非法转移
区块链安全机构Blockaid披露,Ostium平台遭遇严重安全事件,其预言机签名密钥被恶意获取,致使流动性金库中约1800万美元的USDC资产被迅速抽离。该协议已宣布暂停所有交易活动,相关调查正在进行中。
核心金库资金大规模流失,攻击路径完整还原
据Blockaid分析,此次攻击源于预言机签名者私钥遭到非法控制,攻击者借此伪造未来时间点的价格报告,绕过协议的合法性校验。通过一个已注册的PriceUpKeep转发器,攻击者执行了连续的委托开仓与平仓操作,在无真实风险敞口的前提下实现利润收割。
链上数据显示,攻击行为共触发约20次交易循环,累计从主金库中提取金额介于1186万至1800万美元之间,占当时协议总锁定价值(TVL)6300万美元的近28%。该事件发生于Arbitrum网络上的去中心化永续交易平台Ostium。
依赖可信数据源引发系统性风险暴露
值得注意的是,本次攻击未针对智能合约逻辑本身,而是利用了被信任的预言机基础设施的权限滥用。一旦签名凭证失守,攻击者即可提交经过伪装的价格信号,使异常交易在形式上通过协议审查,最终将损失转嫁给流动性提供方。
此事件再次敲响警钟:尽管智能合约经过多轮审计,但外部数据输入环节仍是潜在薄弱点。当前主流DeFi协议高度依赖预言机进行定价,一旦其身份认证体系被攻破,整个生态可能面临不可逆的资金损失。
尽管Ostium此前获得包括General Catalyst、Jump Crypto、Coinbase Ventures、Wintermute及GSR在内的多家知名机构投资,总额达2780万美元,并完成多次安全评估,但此次事件揭示出——即便合约代码无缺陷,外围组件如密钥管理仍可成为致命弱点。
该事件也加剧了近期加密领域频发的安全危机。本月早些时候,Ctrl Wallet因遭受独立攻击宣布永久停运,要求用户在8月3日前完成资产迁移,之后仅保留恢复短语导出功能。与此同时,Arbitrum生态内的Secret Network提议将原生SCRT代币迁移至本链,理由为现有网络存在安全隐患、流动性不足及代码陈旧问题,计划于9月1日进行快照分发新版本ERC-20代币。
随着项目持续向Arbitrum等高吞吐网络扩展,Ostium案例表明,确保预言机签名体系的物理与逻辑隔离,与智能合约审计同等关键。根据Blockaid调查,单个被窃取的密钥可在数小时内造成数百万美元损失,警示行业必须重构对“信任中介”环节的安全防护体系。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
