Ostium金库遭黑客盗走1800万USDC,预言机漏洞成焦点

Ostium金库遭恶意操控致大规模资金外流,损失估算分歧显著

一名未知实体利用Arbitrum网络中Ostium金库的机制缺陷,成功提取了价值约1800万美元的USDC资产。安全分析公司Blockaid在社交平台X上披露该事件,并将原因归结为对价格数据输入的系统性篡改。

攻击路径揭示:未来时间戳报告与转发器滥用

攻击者借助一个已注册的PriceUpKeep转发代理,提交了带有未来日期标记的预言机更新请求。这一操作使系统误判存在虚假盈利,从而触发自动支付机制,导致金库以真实稳定币形式发放本不存在的收益。

核心漏洞指向预言机权限管理失效

ExVul和Defimon Alerts均指出,此次攻击的根本诱因是负责价格验证的预言机节点私钥泄露,致使攻击者可伪造合法签名。该问题暴露了平台在关键组件访问控制方面的薄弱环节,成为被针对性利用的突破口。

损失金额存争议,多方数据呈现差异

尽管Blockaid估计赔付总额约为1800万美元,但其他机构提供了不同数值:ExVul记录有1186万USDC实际流出,占其总锁仓价值(TVL)约32%;而Defimon Alerts则称总损失接近2000万美元,同时确认有11,862,445 USDC被转移。

平台背景与近期重大升级

Ostium是部署于Arbitrum生态的永续合约交易平台,支持用户通过自托管钱包参与外汇、大宗商品及金融资产的杠杆交易,属于早期实现传统金融市场链上化的项目之一。

机构背书与技术架构革新同步推进

4月下旬,平台推出“去中心化执行层”,将链上订单路由至链下合作机构进行对冲,据联合创始人Marco Antonio Ribeiro介绍,该系统延迟低于100毫秒,旨在提升交易效率。

融资进展与当前生态规模

根据DefiLlama数据,Ostium于2025年12月完成由General Catalyst和Jump领投的2000万美元A轮融资,Coinbase Ventures、Wintermute Ventures和GSR参与投资,另有报道指其总融资额达2780万美元。目前平台锁仓价值为6333万美元,全部位于Arbitrum链上,累计交易量突破600亿美元。

2026年加密安全形势持续恶化

Ostium已成为2026年已知攻击事件中的又一典型案例。截至6月底,本年度已记录约83起独立安全事件,创下季度新高。其中,管理员凭证泄露与虚假价格操纵合计占比达37%,私钥被盗事件占5.7%。本次攻击正契合此类针对高权限账户的新型威胁趋势。

官方回应:已停摆并启动内部调查

Ostium已在社交平台确认异常情况,并声明:“我们已察觉OLP金库出现异常。所有交易现已暂停,团队正在全面排查。”截至目前,尚未对外公布具体损失金额或修复时间表。