

2026年7月15日UTC时间14:18至14:23间,一个仅五分钟的时间窗口内,数百万美元从Arbitrum链上Ostium协议的OLP资金池中蒸发。该事件不仅冲击了用户对RWA永续合约收益安全性的认知,更暴露出预言机基础设施在去中心化金融中的核心脆弱性。
安全机构Blockaid确认,此次攻击源于对一个已注册的PriceUpKeep转发器的滥用,结合一份具有未来生效日期的授权预言机报告。攻击者通过篡改价格信号,制造出虚假盈利假象,诱使系统自动执行支付流程,导致约1800万美元资金被释放,后续监测显示实际损失接近2400万美元。
调查表明,问题并非出自Ostium核心合约逻辑,而是其依赖的预言机签名者私钥遭到泄露。攻击者借此生成合法格式的未来价格报告,并借助已认证的转发器将其广播至链上。由于资金池支付逻辑完全信任预言机输入,系统误判为真实盈利交易,从而完成结算。
攻击者使用公开地址,在攻击前分别从ChangeNOW和Bybit获取1 ETH作为初始资金,符合典型“干净钱包”构建模式。通过伪造头寸开平仓操作,逐步耗尽资金池,随后将所得USDC兑换为约12,080 ETH,并将其中超过10,540 ETH转入Tornado Cash进行混币处理。
Ostium并非边缘项目,其支持股票、大宗商品、外汇及指数等多类实物资产衍生品,最高杠杆达200倍,融资总额约2780万美元,投资方包括General Catalyst、Jump Crypto、Coinbase Ventures等知名机构。此次事件警示所有流动性提供者:预言机安全性已超越合约代码本身,成为决定资金安全的关键环节。
漏洞发生时间:2026年7月15日 UTC 14:18–14:23
被盗金额范围:约1800万至2400万美元USDC(依据不同监测平台)
攻击手段:已注册转发器 + 未来授权预言机报告
资金流向:12,080 ETH转换自被盗USDC;其中10,540 ETH进入Tornado Cash
初始资金来源:攻击者地址于攻击前从ChangeNOW与Bybit各接收1 ETH
此类攻击在DeFi领域已有先例。当系统运行正常但价格源被操控时,即便代码无漏洞,仍可能造成巨额损失。这类攻击依赖于对单一可信节点的信任假设,一旦该节点失效,整个系统即面临崩塌风险。近年来,审计机构已将预言机架构列为最需警惕的风险类别之一。
团队正协同执法部门、SEAL 911及第三方安全团队展开调查,承诺持续更新进展。市场应重点关注:是否发布完整根本原因分析报告;是否存在针对受损存款人的补偿方案;修复后的预言机机制是否可恢复交易;以及链上追踪对转入Tornado Cash资金的进一步动向。
Ostium事件是本年度少有的以时间操纵为核心的高级别攻击案例,凸显了预言机生态在安全设计中的深层挑战。随着交易暂停与调查深入,团队后续声明将直接影响用户信心——这或将演变为一则行业警示,亦或是一次迅速控制的危机处置范例。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.