Ostium遭预言机攻击失血1800万,DeFi安全警钟再响

Ostium协议因预言机操控遭重大资金外流,损失达1800万美元

一名黑客通过精心设计的预言机操纵策略,对Arbitrum网络上的去中心化永续合约平台Ostium实施攻击,导致其流动性金库中价值1800万美元的USDC资产被非法转移。

攻击者借自动化价格反馈机制制造虚假盈利假象

区块链安全机构Blockaid率先侦测到此次异常事件,指出攻击核心在于Ostium系统中负责实时价格更新的PriceUpKeep转发器。攻击者提交了带有未来时间戳的伪造预言机报告,使原本亏损的交易在系统中被错误标记为盈利。

该操作诱导协议误判交易状态,进而触发大额资金支付。分析显示,攻击者利用了具备特权权限的自动化组件,绕过常规验证流程,成功将篡改后的价格数据写入链上合约。

攻击者使用已注册的PriceUpKeep实例,推送包含未来时间戳的恶意价格信息,迫使系统确认不存在的盈利结果,并从金库中提取出1800万美元稳定币。

此事件揭示了当前去中心化金融体系在依赖外部数据源自动上链时所面临的关键风险,尤其当自动化组件缺乏足够防护机制时。

关键基础设施漏洞成为攻击新靶点

Ostium作为运行于Arbitrum生态的衍生品协议,允许用户以高杠杆参与黄金、外汇及股票指数等实物资产的永续合约交易,结算货币为USDC,具有极高的市场活跃度。

近期类似攻击频发,例如上周夏季项目Summer.fi亦遭遇相同类型攻击,损失600万美元。攻击手法均指向协议中用于自动执行任务的Keeper或预言机组件,通过操控数据的时间戳或内容实现欺诈性结算。

Ostium依赖Gelato网络将现实世界资产价格自动化同步至链上。每当交易发生,PriceUpKeep合约会即时更新资产估值。攻击者正逐步将目标转向这些可信的自动化节点,寻找其在数据提交时机与验证逻辑上的可乘之机。

一旦控制或伪装成合法的自动化代理,恶意行为者便可在账面伪造盈利状态,从而诱导协议发起非授权资金释放。

平台:Ostium,攻击日期:2026年6月,损失金额:1800万美元,攻击向量:通过PriceUpKeep进行预言机操纵。

平台:Summer.fi,攻击日期:2026年6月,损失金额:600万美元,攻击向量:Keeper/预言机系统漏洞。

协议发展背景与安全隐忧并存

在本次攻击前,Ostium已完成累计2780万美元融资,其中2025年底由General Catalyst与Jump Crypto领投的A轮融资达2400万美元。该协议已实现超500亿美元的累计交易量,反映出市场对链上真实资产衍生品的高度需求。

攻击发生时,平台支持大宗商品、货币对与股指的高杠杆合约,最高可达200倍杠杆,且全部以USDC结算,进一步放大了系统安全性的重要性。

目前,相关安全调查仍在进行中,攻击者身份尚未明确,被盗资金追回可能性仍不乐观。此类事件再次凸显,随着DeFi协议对自动化与预言机系统的深度依赖,其底层架构的脆弱性正在成为威胁用户资产的主要来源。