区块链安全公司 Blockaid 发现,基于 Arbitrum 的去中心化永续交易所 Ostium 在攻击者利用其预言机系统后遭受了 1800 万美元的 USDC 损失。
攻击机制
入侵者利用注册的 PriceUpKeep 转发器(Ostium 自动定价框架的一个组件)来提交带有未来日期的预言机报告。这些伪造的条目造成了交易有利可图的假象,促使流动性金库向攻击者释放了 1800 万美元的 USDC。
Ostium 的自定义价格反馈依赖于 Gelato 的自动化网络,该网络在执行交易时将价格数据推送到链上。 PriceUpKeep 合约充当记录最新价格的触发器,其受损使用允许恶意行为者操纵价格更新的时间。
DeFi 漏洞利用情况
此事件反映了加密行业最近发生的一系列预言机和守护者系统漏洞,包括上周从 Summer.fi 盗窃 600 万美元的 USDC。攻击者通常会获得操纵价格数据的特权,通过扭曲市场信息从流动性池中提取资金。
此类漏洞凸显了依赖外部价格供给和自动管理器的去中心化金融协议的持续脆弱性,促使投资者和安全审计师加强审查。
Ostium 的市场地位和资金
Ostium 为交易者提供对商品、外汇和股票指数等现实世界资产高达 200 倍的杠杆,在 Arbitrum 区块链上以 USDC 结算所有头寸。该平台已吸引了 2,780 万美元的总资金,反映出尽管最近遭遇安全挫折,投资者仍信心十足。
展望未来,Ostium 及其支持者预计将增强预言机的弹性并重新评估 keeper 权限,以保护更广泛的加密市场免受类似攻击。
