Ostium金库遭遇严重安全事件

一名攻击者通过操纵Ostium在Arbitrum上的价格馈送系统,从其金库中盗取了约1800万USDC。安全公司Blockaid在社交媒体平台X上确认该事件,并指出攻击者利用已注册的PriceUpKeep转发器,提交了标注为未来时间的授权预言机报告,从而触发虚假利润分配机制,导致金库以USDC形式支付不存在的收益。

攻击根源指向预言机签名者私钥泄露

ExVul与Defimon Alerts均独立分析认为,此次攻击的核心是特权预言机签名者的私钥泄露,使得攻击者能够伪造价格数据并操控系统决策。这一环节成为整个系统的薄弱点,暴露了去中心化金融平台在关键节点权限管理上的潜在缺陷。

损失金额存在统计差异

尽管多方估算接近,但具体数字略有出入。Blockaid称赔付总额约为1800万美元;ExVul报告有1186万USDC实际流出,占其总锁仓价值(TVL)的32%;而Defimon Alerts则记录损失达约2000万美元,同时确认有11,862,445 USDC被转移。当前尚未有官方统一声明确认最终损失规模。

Ostium平台背景及近期进展

Ostium是部署于Arbitrum的永续合约交易所,允许用户通过自托管钱包交易外汇、大宗商品、金属及股票等传统资产的杠杆仓位,被视为首批实现此类敞口链上化的DeFi项目之一。2025年12月,该公司完成由General Catalyst和Jump联合领投的2000万美元A轮融资,Coinbase Ventures、Wintermute Ventures和GSR参与投资,总融资额据称达2780万美元。截至最新数据,其锁仓价值为6333万美元,累计永续合约交易量超600亿美元。

2026年加密安全形势持续严峻

Ostium此次事件加入2026年不断扩大的攻击受害者名单。截至6月底,本年度已发生约83起独立攻击事件,其中管理员凭证泄露与虚假价格操纵占比近四成,私钥盗窃占5.7%。本次攻击正属于针对高权限账户的典型威胁类型。目前Ostium已在官方渠道表示“已暂停所有交易,团队正在调查”,但尚未公布详细损失评估或后续应对措施。