Ostium, децентрализованная бессрочная биржа реальных активов на основе Arbitrum, сегодня потеряла почти 18 миллионов USDC после того, как злоумышленники скомпрометировали приватный ключ подписанта оракулов и манипулировали ценами. Скомпрометированный ключ позволил атакующим обходить проверки верификации и отправлять выгодные будущие цены, совершив примерно 20 зацикленных сделок через делегированные действия, чтобы мгновенно извлечь прибыль за счёт протокола. Инцидент демонстрирует сохраняющиеся риски безопасности в ончейн-инфраструктуре децентрализованных финансов, зависящей от оракулов и работающей с деривативами реальных активов.
О инциденте сначала сообщила компания по безопасности Blockaid: атакующий использовал зарегистрированный PriceUpKeep forwarder и авторизованные оракульные отчёты с будущей датой, чтобы сгенерировать искусственную торговую прибыль. В результате возникли повторяющиеся циклы открытия и закрытия позиций, и средства были выведены из основного ликвидного хранилища Ostium. Ончейн-данные показывают, что из хранилища извлекли примерно от 11,86 миллиона до 18 миллионов USDC, что соответствует примерно 28% от его общей стоимости активов, заблокированных на сумму 63 миллиона долларов США на момент атаки. Основная транзакция эксплойта публично верифицируется на Arbiscan.
Ostium — децентрализованный рынок бессрочных контрактов, ориентированный на реальные активы, включая акции, товары, форекс и индексы, построенный на Arbitrum. Протокол привлёк примерно 27,8 миллиона долларов США от инвесторов, среди которых General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute и GSR. Несмотря на сильную институциональную поддержку и несколько аудитов, инцидент выявляет сохраняющиеся риски в RWA-инфраструктуре, зависящей от оракулов.
Эксплойт находится под активным расследованием. Пользователям следует отслеживать официальные каналы, чтобы получать инструкции по выводу средств и обновления по вопросам безопасности. Событие подчёркивает необходимость усиленного управления ключами оракулов и мониторинга в реальном времени в гибридных протоколах DeFi.
Что стало причиной эксплойта Ostium сегодня?
Злоумышленники скомпрометировали приватный ключ подписанта оракулов, что позволило им обходить проверки верификации и отправлять выгодные будущие цены. Затем они выполнили примерно 20 зацикленных сделок через делегированные действия, мгновенно извлекая прибыль за счёт протокола.
Сколько потерял Ostium в ходе атаки на оракул?
Ончейн-данные показывают, что из хранилища Ostium извлекли примерно от 11,86 миллиона до 18 миллионов USDC, что соответствует примерно 28% от общей суммы активов, заблокированных на уровне 63 миллиона долларов США на момент атаки.
Кто обнаружил нарушение безопасности в Ostium?
Сначала инцидент выявила компания по безопасности Blockaid: она установила, что атакующий использовал зарегистрированный PriceUpKeep forwarder и авторизованные оракульные отчёты с будущей датой, чтобы сгенерировать искусственную торговую прибыль.
Связанные новости