摘要:Arbitrum上的去中心化交易平台Ostium因预言机系统被操纵,导致约1800万至2200万美元损失。攻击者利用伪造时间戳的定价数据诱骗资金池释放资产,凸显链下基础设施风险持续上升。

币圈界报道:
Ostium平台因预言机操控遭黑客攻击,流动性金库损失逾1800万美元
运行于Arbitrum网络的去中心化永续合约平台Ostium在7月15日遭遇严重安全事件,其交易系统被迫全面暂停。此次攻击源于对核心预言机机制的恶意篡改,造成流动性储备中约1800万至2200万美元的USDC被非法提取。
攻击路径依赖伪造时间戳的预言机数据注入
攻击者通过向Ostium的自动定价系统提交带有虚假未来时间戳的价格更新,成功诱导协议误判交易状态为盈利。这一操作触发了智能合约中的资金释放逻辑,致使未经授权的资金流出。
多机构确认攻击规模,调查仍在进行中
Blockaid与CertiK等多家安全机构已介入分析,前者估算损失约为1800万美元,后者则指出实际金额可能达到2200万美元。尽管Ostium官方已承认事件发生,但尚未公布最终审计结果,所有交易活动仍处于冻结状态。
核心机制被滥用:Gelato框架下的权限劫持
Ostium依赖Gelato提供的外部价格数据服务,并通过PriceUpKeep合约实现自动化价格刷新。攻击者正是利用该组件的授权流程缺陷,植入包含错误时间参数的虚假估值信息,从而绕过验证机制。
这种操纵使原本亏损的杠杆头寸被系统识别为盈利,进而激活资金提取指令,暴露了链上协议对链下数据源的高度信任所引发的风险。
预言机攻击模式呈周期性扩散趋势
此事件发生在夏季首周,紧随Summer.fi遭遇类似手法攻击仅一周后。两起案例均显示,攻击者正将重心转向预言机等基础设施层,而非直接破解智能合约代码。
据DeFiLlama统计,2025年4月加密领域黑客事件总损失接近6.3亿美元,创下自2025年2月以来单月最高纪录。其中绝大多数损失由去中心化金融协议承担。
值得注意的是,Ostium此前已完成2780万美元融资,包括由General Catalyst与Jump Crypto联合领投的2400万美元A轮融资。平台上线以来累计交易额已超500亿美元,但此次事件或对其发展轨迹构成重大挑战。
摩根大通分析师近期指出,基础设施薄弱环节仍是阻碍DeFi获得主流机构采纳的关键瓶颈之一。目前,Ostium的安全审查工作仍在持续推进。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
