黑客利用预言机操纵攻击Ostium,盗走1800万美元USDC
一名黑客通过复杂的预言机操纵手段,攻击了Arbitrum上的去中心化永续合约交易所Ostium,导致该协议流动性金库中的1800万美元USDC被盗。
攻击者利用自动化价格反馈系统
区块链安全公司Blockaid首先发现了这次攻击,其目标直指Ostium价格自动化设置中的关键组件——PriceUpKeep转发器。攻击者提交了带有未来时间戳的虚假预言机报告,使亏损的交易在系统中看起来如同盈利。
这一操纵行为使得攻击者成功从Ostium金库中触发了一笔1800万美元的付款。Blockaid的分析显示,攻击者利用了负责报告现实世界资产价格的自动化组件的特权角色,从而实现了此次攻击。
攻击者使用已注册的PriceUpKeep转发器,推送带有未来时间戳的篡改价格数据,迫使协议确认虚构的盈利,并从流动性金库中提取了1800万美元USDC。
此次攻击凸显了去中心化金融中持续存在的漏洞,尤其是在将现实世界来源的价格数据自动化报告并验证至区块链的系统中。
迷你词典
Ostium是Arbitrum上的一个去中心化交易协议,允许用户交易实物资产(如黄金、外汇和股票指数)的永续合约,通常提供高杠杆并以稳定币USDC进行链上结算。
DeFi预言机系统漏洞的模式
类似于Ostium攻击的事件也曾困扰其他去中心化协议,DeFi平台频繁因预言机或Keeper基础设施相关漏洞而遭受攻击。就在上周,Summer.fi在一场类似攻击中损失了600万美元,攻击者利用特权组件操纵了价格数据的时间或内容。
Ostium的系统依赖名为Gelato的第三方网络,将现实世界的价格数据自动传递到其链上合约。每当用户执行交易时,中心化的PriceUpKeep合约会将最新资产价格写入Arbitrum。攻击者越来越多地将目标对准这些自动更新机制,寻找价格数据写入区块链的方式和时间上的弱点。
通过控制或伪装可信的自动化组件,恶意行为者可以在账面上伪造交易结果,并通过触发非法结算来提取协议资金。
平台:Ostium,攻击日期:2026年6月,损失金额:1800万美元,攻击向量:通过PriceUpKeep进行预言机操纵。
平台:Summer.fi,攻击日期:2026年6月,损失金额:600万美元,攻击向量:Keeper/预言机系统漏洞。
Ostium的增长与融资背景
在遭受攻击前,Ostium共筹集了2780万美元资金,其中包括2025年底由风投机构General Catalyst和Jump Crypto共同领投的2400万美元A轮融资。该协议还报告了累计超过500亿美元的交易量,反映出用户对与现实市场挂钩的链上衍生品的强烈兴趣。
事件发生时,Ostium允许交易者接触大宗商品、外汇货币对和股票指数,提供最高200倍杠杆以及USDC结算的合约。
安全警报出现后,正在进行中的调查已展开,目前尚不清楚攻击者的身份以及追回被盗资金的可能性。
Ostium等事件凸显了DeFi协议日益依赖复杂自动化和预言机基础设施所带来的风险,尤其是在这些系统被受托管理大量投资者资金的情况下。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种