博思软件园 > 资讯 > 区块链 > Ostium协议遭时间戳操纵攻击,损失1800万美元

Ostium协议遭时间戳操纵攻击,损失1800万美元

  • 作者:佚名
  • 来源:博思软件园
  • 时间:2026-07-16

核心要点

  运行在Arbitrum上的去中心化交易平台Ostium遭遇安全漏洞,造成约1800万至2200万美元的损失。


  攻击者利用平台的预言机机制,通过提交带有伪造未来时间戳的价格数据实施攻击。


  这种操纵手段使得虚假交易显示为盈利状态,导致流动性金库被提取了1800万USDC。


  随着Ostium进行深入调查,所有交易活动已暂停,建议用户撤销相关智能合约的权限。


  此事件延续了2025至2026年期间影响DeFi平台的一个令人担忧的趋势:与预言机相关的漏洞频发。


事件概述

  7月15日,在Arbitrum上运营的去中心化永续合约平台Ostium,在遭受一次复杂攻击后暂停了所有交易业务。该攻击导致其流动性储备中约1800万USDC被提取。


  多家区块链安全机构(包括Blockaid和CertiK)检测并报告了此次攻击事件。Blockaid评估损失约为1800万美元,而CertiK的分析则指出总损失可能高达2200万美元。Ostium团队已确认该事件,但表示仍需等待正在进行中的调查结果,尚未公布官方损失数字。


攻击的技术细节

  本次攻击所利用的漏洞集中在Ostium的预言机基础设施上——这是负责向去中心化平台提供外部市场价格信息的关键系统。


  Blockaid的分析显示,攻击者利用了Ostium自动定价机制中的一个合法组件,即PriceUpKeep转发器。该模块在执行交易时,充当将实时资产估值传送到区块链上的网关。


  恶意行为者提交了包含伪造未来时间戳的预言机价格更新。这种时间操控使得原本亏损的头寸被记录为成功交易,进而诱使金库的智能合约释放了约1800万USDC。


预言机漏洞技术解析

  Ostium的定价基础设施依赖外部自动化服务Gelato来向区块链提供现实世界资产的估值数据。PriceUpKeep智能合约作为核心机制,负责协调这些价格刷新操作。


  攻击者成功获取了该框架内授权环节的访问权限,从而得以引入带有错误时间参数的虚假定价信息。这种操纵手段欺骗了协议,使其验证了虚假的盈利头寸,并触发了从资金库中未经授权的资金释放。


  该平台支持多种资产类别的杠杆交易,包括商品、外汇、股票指数和数字货币,提供高达200倍的杠杆比率,并以USDC进行结算。


基于预言机的攻击呈上升趋势

  此次安全事件发生仅一周前,Summer.fi遭遇了类似的攻击手法,导致600万美元被盗。网络安全专家指出,一种新兴模式正在形成:恶意行为者越来越多地将攻击重点放在诸如预言机系统之类的链下基础设施组件上,而非直接攻击智能合约漏洞。


  根据DeFiLlama汇编的数据,仅在4月份,与加密货币相关的黑客事件造成的损失就接近6.3亿美元——这是自2025年2月以来的最高单月总额。去中心化金融协议承担了其中的大部分损失。


  在此次攻击发生前,Ostium已累计获得2780万美元的总融资,其中包括2025年底由General Catalyst和Jump Crypto联合领投的2400万美元A轮融资。在此次安全事件之前,该平台的总交易额已超过500亿美元。


  摩根大通的研究分析师在4月份指出,基础设施和跨链桥的安全漏洞仍然是DeFi向主流机构接受度迈进的主要障碍。


  Ostium的安全审查和调查目前仍在进行中。