重點摘要:
- 一名攻擊者從Ostium在Arbitrum上的流動性金庫竊取約1800萬美元USDC
- 該漏洞利用偽造的未來日期預言機報告,製造虛假交易利潤
- Ostium已暫停所有交易,並正在調查此事件
重點摘要:

一名攻擊者從Ostium在Arbitrum上的流動性金庫竊取約1800萬美元USDC,原因是該協議的預言機價格饋送系統遭到入侵。
區塊鏈安全公司Blockaid在X平台上發布警報表示:「攻擊者利用已註冊的PriceUpKeep轉發器以及帶有未來日期的授權預言機報告,製造了虛假的交易利潤。」
此次漏洞攻擊針對Ostium的PriceUpKeep智能合約,該合約是協議自動化價格饋送基礎設施的一部分,依賴於第三方自動化網路Gelato將現實世界資產價格推送至鏈上。攻擊者提交帶有篡改未來時間戳的預言機報告,使虧損交易看起來像是盈利的,從而觸發重複的開倉與平倉循環,從主流動性池中提取了約1800萬美元USDC。鏈上數據顯示,在攻擊發生時,被盜資金約占Ostium總鎖倉價值6300萬美元的28%。
此次漏洞事件緊接Summer.fi上周遭竊600萬美元之後,凸顯了DeFi協議所依賴的keeper與預言機基礎設施中存在的持續性漏洞——這些設施負責將鏈下價格數據帶入鏈上。Ostium是Arbitrum上的一個去中心化永續合約交易所,提供高達200倍槓桿,交易標的涵蓋股票、大宗商品、外匯及指數等代幣化現實世界資產;該項目已從General Catalyst、Jump Crypto和Coinbase Ventures等投資者手中募資2780萬美元。
主要的攻擊交易可在Arbiscan上公開查證。Blockaid首先標記了此事件,指出攻擊者透過委託操作執行了約20次循環交易,繞過驗證檢查提交有利的未來價格,並在沒有真實市場風險敞口的情況下,立即從協議中獲利。
Ostium在X平台上承認了此事件,並寫道:「我們已注意到OLP金庫的問題。我們已暫停所有交易。團隊正在進行調查。」
據該公司稱,該協議在此事件之前已處理超過500億美元的累計交易量。儘管擁有強大的機構支持並通過多次安全審計,此次漏洞事件仍暴露了依賴預言機的RWA基礎設施所固有的風險——只要單一簽名者密鑰被攻破,就能繞過驗證檢查,並掏空協議的主要流動性池。
此次攻擊為DeFi安全領域增添了一個慘淡的年份。根據行業數據,2026年前五個月DeFi協議被盜金額已超過8.4億美元,其中包括KelpDAO遭竊2.92億美元及Drift Protocol遭竊2.85億美元。駭客也在6月攻擊了Resolv Labs,竊取超過2500萬美元。
安全專家警告,人工智慧的進步正在加速漏洞的發現。ThreatLocker首席執行官兼聯合創始人Danny Jenkins此前告訴Decrypt,AI系統「在審查代碼以及發現其中潛在漏洞方面,已經遠比大多數人更強」。
本文僅供資訊參考,不構成投資建議。