Ostium, l'échange perpétuel décentralisé basé sur Arbitrum, a subi une perte de 18 millions de dollars USDC après qu'un attaquant a exploité son système Oracle, comme l'a identifié la société de sécurité blockchain Blockaid.
Mécaniques d'attaque
L'intrus a exploité un transitaire enregistré PriceUpKeep, un composant du cadre de tarification automatisé d'Ostium, pour soumettre des rapports Oracle estampillés avec des dates futures. Ces entrées falsifiées ont créé l'illusion de transactions rentables, ce qui a incité le coffre-fort à liquidité à libérer 18 millions de dollars USDC pour l'attaquant.
Le flux de prix personnalisé d'Ostium s'appuie sur le réseau d'automatisation de Gelato, qui transmet les données de prix sur la chaîne lorsque les transactions sont exécutées. Le contrat PriceUpKeep agit comme le déclencheur qui enregistre le dernier prix, et son utilisation compromise a permis à l'acteur malveillant de manipuler le calendrier des mises à jour des prix.
Paysage des exploits DeFi
Cet incident reflète une série de violations récentes du système Oracle et du système de gardien dans le secteur de la cryptographie, notamment un vol de 6 millions de dollars USDC sur Summer.fi la semaine dernière. Les attaquants obtiennent généralement un accès privilégié pour manipuler les données sur les prix et extraire des fonds des pools de liquidités en faussant les informations sur le marché.
De tels exploits soulignent la vulnérabilité persistante des protocoles financiers décentralisés qui dépendent de flux de prix externes et de gestionnaires automatisés, ce qui suscite une surveillance accrue de la part des investisseurs et des auditeurs de sécurité.
Position et financement d'Ostium
Offrant aux traders un effet de levier jusqu'à 200 × sur les actifs du monde réel tels que les matières premières, le forex et les indices boursiers, Ostium règle toutes les positions en USDC sur la blockchain Arbitrum. La plateforme a attiré un financement total de 27,8 millions de dollars, reflétant la forte confiance des investisseurs malgré les récents revers en matière de sécurité.
À l'avenir, Ostium et ses bailleurs de fonds devraient renforcer la résilience des oracles et réévaluer les autorisations des gardiens pour protéger le marché plus large de la cryptographie contre des attaques similaires.
