预言机操纵引发Ostium巨额资金流失

一名攻击者通过操控Arbitrum链上Ostium协议的自动化价格反馈机制,成功从其流动性金库中提取1800万美元USDC。该攻击依赖于对PriceUpKeep转发器的滥用,通过提交带有未来时间戳的虚假价格报告,使亏损交易在系统中被误判为盈利,从而触发非法支付。

自动化组件成安全薄弱点

区块链安全机构Blockaid指出,攻击目标直指Ostium依赖Gelato网络实现的价格数据自动写入流程。该协议使用中心化组件定期将现实世界资产价格同步至链上合约。攻击者利用已注册的PriceUpKeep角色,伪造可信数据源,迫使系统执行错误结算逻辑,完成资金提取。

同类攻击模式持续暴露风险

此次事件并非孤立案例。就在同月,Summer.fi也遭遇相似攻击,因Keeper与预言机系统的权限缺陷导致600万美元资金外流。这些攻击共同揭示了去中心化金融中依赖外部自动化服务所带来的潜在威胁——一旦关键组件被控制或欺骗,整个协议的资产存储安全性将面临严重挑战。

Ostium发展背景与用户规模

Ostium在遭受攻击前已完成2780万美元融资,其中2400万美元由General Catalyst与Jump Crypto联合领投。平台支持大宗商品、外汇及股票指数的高杠杆永续合约交易,累计交易量突破500亿美元,显示出市场对链上衍生品的高度参与度。尽管如此,其对自动化基础设施的深度依赖也加剧了系统性风险。

后续调查与追回可能性

目前相关安全团队已启动调查,但攻击者身份尚未披露,被盗资金追回仍存不确定性。此类事件再次提醒市场:随着协议复杂度提升,保障自动化组件的可信性与抗篡改能力已成为DeFi生态的核心议题。