Ostium协议遭2400万美金黑客攻击,预言机漏洞成焦点

比特币 2026-07-16 14:05:18
核心提要:2026年7月15日,Arbitrum上Ostium协议遭遇严重黑客攻击,约2400万美元USDC被窃。攻击者利用伪造的未来价格报告与已注册转发器,操纵预言机输入,触发资金池支付。事件揭示了依赖单一可信源的协议在安全设计上的深层风险。

Ostium协议遭2400万美金黑客攻击:预言机时间操纵引发资金外流

2026年7月15日UTC时间14:18至14:23间,一个仅五分钟的时间窗口内,数百万美元从Arbitrum链上Ostium协议的OLP资金池中蒸发。该事件不仅冲击了用户对RWA永续合约收益安全性的认知,更暴露出预言机基础设施在去中心化金融中的核心脆弱性。

资金池异常波动背后的操纵机制

安全机构Blockaid确认,此次攻击源于对一个已注册的PriceUpKeep转发器的滥用,结合一份具有未来生效日期的授权预言机报告。攻击者通过篡改价格信号,制造出虚假盈利假象,诱使系统自动执行支付流程,导致约1800万美元资金被释放,后续监测显示实际损失接近2400万美元。

攻击根源:预言机签名密钥失守而非代码缺陷

调查表明,问题并非出自Ostium核心合约逻辑,而是其依赖的预言机签名者私钥遭到泄露。攻击者借此生成合法格式的未来价格报告,并借助已认证的转发器将其广播至链上。由于资金池支付逻辑完全信任预言机输入,系统误判为真实盈利交易,从而完成结算。

攻击路径还原:从种子资金到Tornado Cash转移

攻击者使用公开地址,在攻击前分别从ChangeNOW和Bybit获取1 ETH作为初始资金,符合典型“干净钱包”构建模式。通过伪造头寸开平仓操作,逐步耗尽资金池,随后将所得USDC兑换为约12,080 ETH,并将其中超过10,540 ETH转入Tornado Cash进行混币处理。

高杠杆协议暴露系统性风险

Ostium并非边缘项目,其支持股票、大宗商品、外汇及指数等多类实物资产衍生品,最高杠杆达200倍,融资总额约2780万美元,投资方包括General Catalyst、Jump Crypto、Coinbase Ventures等知名机构。此次事件警示所有流动性提供者:预言机安全性已超越合约代码本身,成为决定资金安全的关键环节。

关键数据追踪清单

漏洞发生时间:2026年7月15日 UTC 14:18–14:23
被盗金额范围:约1800万至2400万美元USDC(依据不同监测平台)
攻击手段:已注册转发器 + 未来授权预言机报告
资金流向:12,080 ETH转换自被盗USDC;其中10,540 ETH进入Tornado Cash
初始资金来源:攻击者地址于攻击前从ChangeNOW与Bybit各接收1 ETH

历史先例:预言机操纵屡见不鲜

此类攻击在DeFi领域已有先例。当系统运行正常但价格源被操控时,即便代码无漏洞,仍可能造成巨额损失。这类攻击依赖于对单一可信节点的信任假设,一旦该节点失效,整个系统即面临崩塌风险。近年来,审计机构已将预言机架构列为最需警惕的风险类别之一。

后续关注点:透明度与赔偿机制

团队正协同执法部门、SEAL 911及第三方安全团队展开调查,承诺持续更新进展。市场应重点关注:是否发布完整根本原因分析报告;是否存在针对受损存款人的补偿方案;修复后的预言机机制是否可恢复交易;以及链上追踪对转入Tornado Cash资金的进一步动向。

事件定性:技术性突破而非简单漏洞

Ostium事件是本年度少有的以时间操纵为核心的高级别攻击案例,凸显了预言机生态在安全设计中的深层挑战。随着交易暂停与调查深入,团队后续声明将直接影响用户信心——这或将演变为一则行业警示,亦或是一次迅速控制的危机处置范例。

上一篇 Zcash逼近580美元关口,Ironw...
下一篇 XRP反弹动能显现,倒头肩形态或触发20...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U