Hacker využil vlastnú infraštruktúru Ostium na oznamovanie cien proti samotnému protokolu, predkladajúc sfalšované údaje z oraclov s budúcimi časovými značkami, aby vytvoril falošné obchodné zisky a spustil vyplatenie 18 miliónov dolárov.
Zhrnutie útoku
Útočník zneužil registrovanú súčasť systému automatizácie cenových kanálov Ostium, predkladajúc správy oraclov s manipulovanými budúcimi časovými značkami, aby stratové obchody vyzerali ako ziskové — čo viedlo k vyplatenej sume 18 miliónov USDC z trezoru protokolu. Tento útok nadväzuje na sériu podobných zneužití systémov „keeper“ a oraclov v DeFi, vrátane odčerpania 6 miliónov dolárov zo Summer.fi minulý týždeň, čo podčiarkuje pretrvávajúce zraniteľnosti v automatizovanej infraštruktúre, na ktorú sa protokoly spoliehajú pri prinášaní cenových údajov z reálneho sveta do onchain prostredia. Ostium, burza perpetuals na Arbitrum zameraná na reálne aktíva ako zlato, forex a akciové indexy, predtým incidentom získala 27,8 milióna dolárov vo financovaní a spracovala obchodný objem presahujúci 50 miliárd dolárov.
Útočník odčerpal približne 18 miliónov USDC z likviditného trezoru Ostium na Arbitrum v rámci zneužitia manipulácie oraclov, ktoré odhalila bezpečnostná blockchainová firma Blockaid, ako ukazujú onchain dáta.
Podľa upozornenia Blockaid útočník využil registrovaný PriceUpKeep forwarder, súčasť automatizovanej infraštruktúry Ostium, na predkladanie správ o cenách oraclov s budúcimi časovými značkami. Zmanipulované správy vytvorili dojem ziskových obchodov, čo spustilo vyplatenie 18 miliónov USDC z trezoru.
Ostium je decentralizovaná burza perpetuals na Arbitrum, ktorá umožňuje používateľom obchodovať s reálnymi aktívami vrátane komodít, forexu a akciových indexov, s pákovým efektom až 200x, pričom vyrovnanie prebieha v USDC. Ostium využíva vlastný systém cenových kanálov na sledovanie cien aktív z reálneho sveta, pričom za prenos týchto cien do onchain prostredia v správnych momentoch je zodpovedná externá automatizačná sieť nazývaná Gelato. Inteligentný kontrakt s názvom PriceUpKeep je centrom tohto procesu a funguje ako spúšťač, ktorý zapisuje najnovšie cenové údaje do blockchainu vždy, keď je potrebné vykonať obchod.
Útok je v súlade s opakujúcim sa vzorcom zneužitia oraclov a „keeper“ systémov v DeFi, ktorý bol pozorovaný v posledných rokoch, pričom najnovšie bolo minulý týždeň odčerpaných 6 miliónov dolárov zo Summer.fi. Zneužitie zahŕba získanie prístupu útočníkov k privilegovaným rolám a manipuláciu s načasovaním alebo obsahom cenových údajov s cieľom odčerpať finančné prostriedky z likviditných fondov.
Ostium získalo celkové financovanie vo výške 27,8 milióna dolárov, vrátane 24 miliónov dolárov v sérii A, ktorú koncom roka 2025 spoločne viedli General Catalyst a Jump Crypto, a spracovalo kumulatívny obchodný objem presahujúci 50 miliárd dolárov.
Pôvodný zdroj: CoinDesk




