摘要:Ostium因预言机报告被操纵导致约1800万USDC赔付,协议已暂停交易。攻击者利用未来时间戳的授权报告制造虚假盈利,引发保险库资金流出。目前调查仍在进行中,用户仓位冻结,恢复时间未定。

币圈界报道:
Ostium因价格操纵漏洞暂停交易,1800万USDC赔付初步确认
在遭遇关键预言机机制缺陷后,Ostium已全面暂停其Arbitrum链上交易服务。此次漏洞致使OLP流动性保险库触发赔付,金额约为1800万USDC。尽管协议方声明现有用户持仓仍处于开放状态,但无法进行任何修改操作,相关保证金被锁定于智能合约内,等待进一步调查结论。
系统停摆持续,用户资产暂无法动用
自7月16日更新以来,Ostium明确表示,当前所有交易活动仍处于冻结状态。团队承诺将在掌握完整时间线信息后,陆续发布后续进展。在此期间,用户无法调整或提取其持仓,所有资金维持在原合约中,以防止进一步风险扩散。
伪造未来报价触发虚假盈利认定
区块链安全机构Blockaid披露,攻击者通过一个已注册的PriceUpKeep转发器,提交了带有未来时间戳的授权预言机数据。这些异常报告误导系统判定存在虚构交易利润,从而触发了对OLP保险库的自动赔付机制。目前尚无证据显示外部金融市场出现波动,核心问题在于协议对价格输入的信任机制被恶意利用。
继Summer.fi事件后再次暴露定价依赖风险
此次事件紧随Summer.fi保险库遭攻击之后,后者造成约600万美元损失。尽管攻击手法不同,但二者均揭示出依赖自动化定价与结算流程的DeFi协议所面临的共性隐患。Ostium采用外部价格源与Keeper基础设施实现交易执行、清算及订单管理,但尚未明确是预言机签名密钥、转发器权限还是其他组件遭到渗透。
集中流动性池承担赔付责任
OLP保险库作为由流动性提供者共同支持的集中资金池,负责为盈利交易支付结算款。由于被操纵的价格报告使攻击者仓位被错误识别为盈利,系统自动从该池中拨付赔偿。值得注意的是,交易者本人的保证金并未被挪用,仍保留在冻结合约中,未发生转移。
访问路径仍存疑,非单一原因可解释
尽管部分媒体报道指向预言机签名密钥泄露,但Ostium官方未予证实。潜在入侵路径包括:非法获取授权签名者权限、劫持转发器接口,或利用时间戳验证逻辑中的漏洞。此外,没有可靠证据表明Gelato网络整体受到波及。类似风险曾在DLMC闪电贷事件中显现——通过操纵内部代币价格,在奖励赎回前制造数据扭曲,最终转化为真实资产损失。Ostium仍未说明如何处理当前不可修改的用户仓位,也未公布交易重启时间表或对流动性提供者的补偿方案。调查仍在推进,链上数据显示部分受损资金已通过Kyber Network兑换为ETH,并分散至多个地址。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
