奥斯蒂姆(Ostium)黑客事件详解:Arbitrum上2400万美元DeFi漏洞,交易暂停
14分23秒。这就是数百万美元从Arbitrum上一个活跃的DeFi资金池中消失的精确时间窗口。如果你持有RWA永续合约或流动性资金池的敞口,这起事件应该改变你对“安全”收益的看法。
以下内容多数报道并未提及——包括被盗资金的真实去向,以及攻击者的开场动作为何提供了比任何人最初意识到的更重要的线索。
2026年7月15日,安全公司Blockaid标记了一起针对Ostium的黑客攻击,Ostium是一个基于Arbitrum构建的实物资产(RWA)永续合约协议。攻击者利用一个已注册的PriceUpKeep转发器,结合一份未来日期的授权预言机报告,伪造了虚假的交易利润。
这一操纵行为触发了Ostium公共OLP资金池中约1800万美元USDC的支付。PeckShield的后续监测显示,在追踪完整资金流向之后,被盗金额更接近2400万美元。
Ostium创始人Kaledora确认,漏洞发生于UTC时间14:18至14:23之间——一个五分钟的窗口。团队表示,他们在几分钟内检测到异常,并在一小时内暂停了交易合约。
Blockaid的分析指出,问题在于一个被攻破的预言机签名者密钥,而非Ostium核心合约逻辑的缺陷。掌握了签名者权限后,攻击者可以授权一份针对未来某个时刻的价格报告,然后利用一个已注册的合法PriceUpKeep转发器,将伪造的价格推送到链上。资金池的支付逻辑信任了该预言机输入的真实性,因此结算了一笔看似盈利的交易,而实际上价格源本身已被篡改。
攻击者的地址是公开已知的,在攻击前分别从ChangeNOW和Bybit交易所获得了1 ETH的种子资金,这是资助“干净”钱包的常见模式。利用伪造的报告,攻击者开仓和平仓了若干在纸面上看似盈利的头寸,从而耗尽了OLP资金池,随后将USDC兑换为ETH,并将大部分资金转移到了Tornado Cash。
Ostium并非一个小型实验性协议。它提供股票、大宗商品、外汇和指数上的永续合约,杠杆最高可达200倍,并从包括General Catalyst、Jump Crypto、Coinbase Ventures、Wintermute和GSR在内的投资者那里筹集了约2780万美元。对于任何将流动性投入RWA资金池以追逐收益的人来说,这次漏洞事件提醒我们,预言机基础设施——而不仅仅是智能合约代码——是一个活跃的攻击面。一个被攻破或被操纵的价格源,就足以解锁一笔接近九位数的支付。
预言机操纵是DeFi中最常见的攻击模式之一,与简单的智能合约漏洞不同,因为代码本身通常按预期运行。依赖单一可信价格源或签名者密钥的协议尤其容易受到攻击,因为攻破这一个密钥就足以伪造出整个交易所需的“利润”。Ostium黑客事件为一系列因预言机信任假设(而非重入或逻辑错误)而导致的资金池和借贷漏洞增加了新案例,这也进一步印证了为什么审计人员越来越将预言机设计列为最高风险类别。
团队正在与执法部门、SEAL 911以及第三方网络安全团队合作,并承诺会持续披露信息。交易者应关注:
Ostium是否发布关于预言机签名者被攻破的完整根本原因报告任何针对受影响的OLP资金池存款人的赔偿计划声明交易是否会在修订后的预言机安全措施下恢复,以及具体时间表链上调查人员对转入Tornado Cash资金的后续追踪Ostium黑客事件是今年技术层面上较为独特的DeFi攻击之一,它利用的是预言机时间操纵,而非简单的合约漏洞。随着交易暂停且调查人员介入,Ostium团队的下一次更新很可能会决定OLP资金池以外的用户资金是否依然完全安全——以及这将成为一则警示故事,还是一个迅速被控制的事件。