币圈界报道:

Ostium预言机密钥遭入侵,超1800万美元稳定币被非法转移

区块链安全机构Blockaid披露,Ostium平台遭遇严重安全事件,其预言机签名密钥被恶意获取,致使流动性金库中约1800万美元的USDC资产被迅速抽离。该协议已宣布暂停所有交易活动,相关调查正在进行中。

核心金库资金大规模流失,攻击路径完整还原

据Blockaid分析,此次攻击源于预言机签名者私钥遭到非法控制,攻击者借此伪造未来时间点的价格报告,绕过协议的合法性校验。通过一个已注册的PriceUpKeep转发器,攻击者执行了连续的委托开仓与平仓操作,在无真实风险敞口的前提下实现利润收割。

链上数据显示,攻击行为共触发约20次交易循环,累计从主金库中提取金额介于1186万至1800万美元之间,占当时协议总锁定价值(TVL)6300万美元的近28%。该事件发生于Arbitrum网络上的去中心化永续交易平台Ostium。

依赖可信数据源引发系统性风险暴露

值得注意的是,本次攻击未针对智能合约逻辑本身,而是利用了被信任的预言机基础设施的权限滥用。一旦签名凭证失守,攻击者即可提交经过伪装的价格信号,使异常交易在形式上通过协议审查,最终将损失转嫁给流动性提供方。

此事件再次敲响警钟:尽管智能合约经过多轮审计,但外部数据输入环节仍是潜在薄弱点。当前主流DeFi协议高度依赖预言机进行定价,一旦其身份认证体系被攻破,整个生态可能面临不可逆的资金损失。

尽管Ostium此前获得包括General Catalyst、Jump Crypto、Coinbase Ventures、Wintermute及GSR在内的多家知名机构投资,总额达2780万美元,并完成多次安全评估,但此次事件揭示出——即便合约代码无缺陷,外围组件如密钥管理仍可成为致命弱点。

该事件也加剧了近期加密领域频发的安全危机。本月早些时候,Ctrl Wallet因遭受独立攻击宣布永久停运,要求用户在8月3日前完成资产迁移,之后仅保留恢复短语导出功能。与此同时,Arbitrum生态内的Secret Network提议将原生SCRT代币迁移至本链,理由为现有网络存在安全隐患、流动性不足及代码陈旧问题,计划于9月1日进行快照分发新版本ERC-20代币。

随着项目持续向Arbitrum等高吞吐网络扩展,Ostium案例表明,确保预言机签名体系的物理与逻辑隔离,与智能合约审计同等关键。根据Blockaid调查,单个被窃取的密钥可在数小时内造成数百万美元损失,警示行业必须重构对“信任中介”环节的安全防护体系。