オスティウムはArbitrumベースの実世界資産(RWA)パーペチュアル取引所ですが、攻撃者がオラクル署名者の秘密鍵を侵害して価格を操作したことで、本日約1,800万ドル相当のUSDCを失いました。侵害された鍵により攻撃者は検証チェックを回避して、有利な将来価格を提出でき、委任されたアクションを通じて約20回のループ取引を実行し、プロトコルに損害を与えた上で即座に利益を得ました。この事件は、実世界資産デリバティブを扱うオラクル依存型の分散型金融(DeFi)基盤における、継続的なセキュリティリスクの存在を浮き彫りにしています。
セキュリティ企業Blockaidが最初にこの事件を報告し、攻撃者が登録済みのPriceUpKeep forwarderと、将来日付の付いた許可済みオラクルレポートを用いて人工的な取引利益を生成したことを示しました。これにより、繰り返し「オープン&クローズ」のループが発生し、オスティウムの主要な流動性Vaultから資金が流出しました。オンチェーンデータによれば、Vaultから約1,186万ドル〜1,800万ドル相当のUSDCが抽出されており、攻撃時点で同Vaultにロックされていた総額6,300万ドルの約28%に相当します。主要なエクスプロイト取引はArbiscan上で公開検証可能です。
オスティウムは、Arbitrum上に構築された実世界資産に特化した分散型パーペチュアル取引所です。株式、商品、外国為替、指数などを扱います。プロトコルはGeneral Catalyst、Jump Crypto、Coinbase Ventures、Wintermute、GSRなどの投資家から、約2,780万ドルを調達していました。強い機関投資家の支援や複数の監査にもかかわらず、この事件は、オラクル依存のRWA基盤における継続的なリスクを示しています。
不正利用は現在も調査中です。出金に関する案内やセキュリティ更新のため、ユーザーは公式チャネルを監視してください。この出来事は、ハイブリッドDeFiプロトコルにおける、強化されたオラクル鍵管理とリアルタイム監視の必要性を浮き彫りにしています。
オスティウムの今回のエクスプロイトの原因は何ですか?
攻撃者がオラクル署名者の秘密鍵を侵害し、それにより検証チェックを回避して、有利な将来価格を提出できるようになりました。攻撃者は委任されたアクションを通じて約20回のループ取引を実行し、即座にプロトコルの損失を利益に変えました。
オラクル攻撃でオスティウムはいくら失いましたか?
オンチェーンデータによれば、オスティウムのVaultから約1,186万ドル〜1,800万ドル相当のUSDCが抽出されており、攻撃時点での同Vaultの総額6,300万ドルの約28%に相当します。
オスティウムのセキュリティ侵害を誰が検知しましたか?
セキュリティ企業Blockaidが最初にこの事件を報告し、攻撃者が登録済みのPriceUpKeep forwarderと、将来日付で許可されたオラクルレポートを用いて人工的な取引利益を生成したことを特定しました。
関連ニュース