币圈界报道:

Ostium平台因预言机操控遭黑客攻击,流动性金库损失逾1800万美元

运行于Arbitrum网络的去中心化永续合约平台Ostium在7月15日遭遇严重安全事件,其交易系统被迫全面暂停。此次攻击源于对核心预言机机制的恶意篡改,造成流动性储备中约1800万至2200万美元的USDC被非法提取。

攻击路径依赖伪造时间戳的预言机数据注入

攻击者通过向Ostium的自动定价系统提交带有虚假未来时间戳的价格更新,成功诱导协议误判交易状态为盈利。这一操作触发了智能合约中的资金释放逻辑,致使未经授权的资金流出。

多机构确认攻击规模,调查仍在进行中

Blockaid与CertiK等多家安全机构已介入分析,前者估算损失约为1800万美元,后者则指出实际金额可能达到2200万美元。尽管Ostium官方已承认事件发生,但尚未公布最终审计结果,所有交易活动仍处于冻结状态。

核心机制被滥用:Gelato框架下的权限劫持

Ostium依赖Gelato提供的外部价格数据服务,并通过PriceUpKeep合约实现自动化价格刷新。攻击者正是利用该组件的授权流程缺陷,植入包含错误时间参数的虚假估值信息,从而绕过验证机制。

这种操纵使原本亏损的杠杆头寸被系统识别为盈利,进而激活资金提取指令,暴露了链上协议对链下数据源的高度信任所引发的风险。

预言机攻击模式呈周期性扩散趋势

此事件发生在夏季首周,紧随Summer.fi遭遇类似手法攻击仅一周后。两起案例均显示,攻击者正将重心转向预言机等基础设施层,而非直接破解智能合约代码。

据DeFiLlama统计,2025年4月加密领域黑客事件总损失接近6.3亿美元,创下自2025年2月以来单月最高纪录。其中绝大多数损失由去中心化金融协议承担。

值得注意的是,Ostium此前已完成2780万美元融资,包括由General Catalyst与Jump Crypto联合领投的2400万美元A轮融资。平台上线以来累计交易额已超500亿美元,但此次事件或对其发展轨迹构成重大挑战。

摩根大通分析师近期指出,基础设施薄弱环节仍是阻碍DeFi获得主流机构采纳的关键瓶颈之一。目前,Ostium的安全审查工作仍在持续推进。