币圈界报道:

Ostium因价格操纵漏洞暂停交易,1800万USDC赔付初步确认

在遭遇关键预言机机制缺陷后,Ostium已全面暂停其Arbitrum链上交易服务。此次漏洞致使OLP流动性保险库触发赔付,金额约为1800万USDC。尽管协议方声明现有用户持仓仍处于开放状态,但无法进行任何修改操作,相关保证金被锁定于智能合约内,等待进一步调查结论。

系统停摆持续,用户资产暂无法动用

自7月16日更新以来,Ostium明确表示,当前所有交易活动仍处于冻结状态。团队承诺将在掌握完整时间线信息后,陆续发布后续进展。在此期间,用户无法调整或提取其持仓,所有资金维持在原合约中,以防止进一步风险扩散。

伪造未来报价触发虚假盈利认定

区块链安全机构Blockaid披露,攻击者通过一个已注册的PriceUpKeep转发器,提交了带有未来时间戳的授权预言机数据。这些异常报告误导系统判定存在虚构交易利润,从而触发了对OLP保险库的自动赔付机制。目前尚无证据显示外部金融市场出现波动,核心问题在于协议对价格输入的信任机制被恶意利用。

继Summer.fi事件后再次暴露定价依赖风险

此次事件紧随Summer.fi保险库遭攻击之后,后者造成约600万美元损失。尽管攻击手法不同,但二者均揭示出依赖自动化定价与结算流程的DeFi协议所面临的共性隐患。Ostium采用外部价格源与Keeper基础设施实现交易执行、清算及订单管理,但尚未明确是预言机签名密钥、转发器权限还是其他组件遭到渗透。

集中流动性池承担赔付责任

OLP保险库作为由流动性提供者共同支持的集中资金池,负责为盈利交易支付结算款。由于被操纵的价格报告使攻击者仓位被错误识别为盈利,系统自动从该池中拨付赔偿。值得注意的是,交易者本人的保证金并未被挪用,仍保留在冻结合约中,未发生转移。

访问路径仍存疑,非单一原因可解释

尽管部分媒体报道指向预言机签名密钥泄露,但Ostium官方未予证实。潜在入侵路径包括:非法获取授权签名者权限、劫持转发器接口,或利用时间戳验证逻辑中的漏洞。此外,没有可靠证据表明Gelato网络整体受到波及。类似风险曾在DLMC闪电贷事件中显现——通过操纵内部代币价格,在奖励赎回前制造数据扭曲,最终转化为真实资产损失。Ostium仍未说明如何处理当前不可修改的用户仓位,也未公布交易重启时间表或对流动性提供者的补偿方案。调查仍在推进,链上数据显示部分受损资金已通过Kyber Network兑换为ETH,并分散至多个地址。