Ostium 在 Arbitrum 的 RWA 去中心化交易所 Oracle 端的漏洞攻擊中損失 $18M USDC

USDC0.01%
ARB-3.98%
RWA-0.08%

Ostium 是一個以 Arbitrum 為基礎的現實世界資產(RWA)永續合約交易所。今天,攻擊者在入侵預言機簽署者(oracle signer)私鑰之後,幾乎損失了 1,800 萬美元的 USDC。遭入侵的金鑰使攻擊者能夠繞過驗證檢查,並提交有利的未來價格。透過委任操作(delegate call)執行約 20 筆重複循環交易(looped trades),攻擊者以即時獲利的方式讓協定承受損失。此次事件凸顯出,在處理現實世界資產衍生品、依賴預言機的去中心化金融(DeFi)基礎設施中,持續存在的資安風險。

Blockaid 透過預言機操縱偵測到 1,800 萬美元機槍池(Vault)資金外流

資安公司 Blockaid 最先通報此事件,指出攻擊者使用了已註冊的 PriceUpKeep forwarder,並利用經過未來日期授權的預言機報告來產生虛構的交易獲利。此舉觸發了反覆開倉與平倉的循環,將資金從 Ostium 的主要流動性機槍池中抽走。鏈上數據顯示,約有 1,186 萬美元到 1,800 萬美元的 USDC 從機槍池被抽取,約占攻擊發生當時其 6,300 萬美元總鎖倉價值(TVL)的 28%。主要漏洞利用交易(exploit transaction)可在 Arbiscan 上公開驗證。

Ostium 從 General Catalyst 與 Coinbase Ventures 募得 2,780 萬美元

Ostium 是一個去中心化的永續合約交易所,聚焦現實世界資產,包含股票、 大宗商品(commodities)、外匯(Forex)與指數(indices),建立在 Arbitrum 上。該協定先前已從包含 General Catalyst、Jump Crypto、Coinbase Ventures、Wintermute 與 GSR 等投資人處募得約 2,780 萬美元。儘管機構支持強勁且完成多次審計,此次事件仍凸顯出依賴預言機的 RWA 基礎設施中持續存在的風險。

漏洞利用正接受調查,並有鏈上證據

此次漏洞利用仍在積極調查中。使用者應監控官方管道,以取得提現指引與資安更新。此事件凸顯出,在混合型去中心化金融(DeFi)協議中,強化預言機密鑰管理與即時監控的必要性。

常見問題

Ostium 今天的漏洞利用是什麼原因造成的?
攻擊者入侵了預言機簽署者私鑰,使其能夠繞過驗證檢查並提交有利的未來價格。他們透過委任操作(delegate call)執行約 20 筆重複循環交易,並立即以協定為代價獲利。

預言機攻擊中 Ostium 損失了多少?
鏈上數據顯示,約有 1,186 萬美元到 1,800 萬美元的 USDC 從 Ostium 的機槍池中被抽取,約占攻擊發生當時其 6,300 萬美元總鎖倉價值(TVL)的 28%。

誰偵測到 Ostium 的資安漏洞?
資安公司 Blockaid 最先通報此事件,指出攻擊者使用了已註冊的 PriceUpKeep forwarder,並透過經過未來日期授權的預言機報告來產生虛構的交易獲利。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆