Ostium pierde până la 24 mil. dolari în 5 minute, după manipularea oracolului cu date de preț "din viitor"
Rezumat al pieței generat de AI
Incidentul de manipulare a oracolului, raportat de Ostium, cu o durată de 5 minute, a drenat până la aproximativ 24 milioane USD din seiful său public de lichiditate, evidențiind un mod de eșec în care căile de semnatar autorizat pot furniza date "toxice" (timestampuri viitoare) care trec verificările de semnătură. Lipsa unei cifre finale a pierderii sau a unui raport post-incident menține incertitudinea în jurul controalelor de acces privilegiate și al verificărilor de plauzibilitate ale oracolului. Fondurile au fost schimbate în ETH și direcționate către Tornado Cash, adăugând presiune de tip titlu și de conformitate pentru DeFi.
Nivelul impactului
● Mediu
Active afectate
ETH/USDT-2.19%
Perspectivă AI · ETH/USDTPerspectivă AI
▼ Bearish
Tranzacționează acum
⚠️ Perspectivele generate de AI se bazează pe conținutul știrilor și sunt furnizate exclusiv în scop informativ. Nu constituie consiliere de investiții și nu reprezintă opiniile BingX. Investițiile implică risc. Tranzacționează responsabil.
Autor: CryptoSlate. Compilat de Deep潮 TechFlow Shenchao.
Incidentul de securitate raportat de Ostium nu ar fi fost provocat de lipsa unei semnături, ci de faptul că un semnatar autorizat ar fi transmis date de preț cu un marcaj temporal "din viitor". Episodul ridică întrebări despre cât de bine sunt protejate protocoalele DeFi atunci când validarea criptografică trece, dar datele acceptate sunt compromise. Ostium nu a publicat încă o evaluare finală a pierderilor și nici un raport post-incident.
Platforma onchain de tranzacționare perpetuă Ostium a anunțat că o problemă de securitate care a durat cinci minute a generat pierderi pentru seiful său public de lichiditate. Estimările firmelor de securitate plasează impactul la până la 24 milioane de dolari.
Cofondatoarea Kaledora Kiernan-Linn a confirmat că incidentul a avut loc între 14:18 și 14:23 UTC, pe 15 iulie, și a afectat trezoreria publică Ostium Liquidity Provider (OLP). Ea a precizat că echipa a identificat problema în câteva minute și a coordonat o oprire a tranzacționării în decurs de o oră. Declarația nu a inclus valoarea exactă a pierderii, cauza rădăcină sau raportul final.
Potrivit Blockaid și Cyvers, elementul central a fost acceptarea unor date autorizate, nu absența semnăturilor. Cele două firme susțin că un relayer PriceUpKeep înregistrat a trimis un raport de oracol autorizat cu o dată din viitor, ceea ce ar fi generat profituri false în tranzacții. SlowMist a afirmat că semnatari autorizați au furnizat date manipulate, cu semnături valide, permițând repetarea unor tranzacții profitabile.
Aceste concluzii provin din analize ale terților și așteaptă confirmare prin raportul post-incident al Ostium. Autentificarea criptografică arată că raportul a fost semnat cu o cheie autorizată, dar plauzibilitatea prețului, prospețimea timestamp-ului și siguranța decontării necesită controale separate.
Codul OstiumVerifier, disponibil printr-un link de documentație de securitate al proiectului, recuperează semnatarul ECDSA și verifică dacă acesta este autorizat. Funcția de verificare nu pare să impună verificări de "sanity" pentru preț sau limite pentru timestamp. De asemenea, codul nu indică versiunea exactă activă în timpul incidentului și nici dacă alte contracte aplică astfel de controale. Orice protecție legată de timestamp, replay, deviații de preț sau validare din surse multiple ar trebui implementată în altă parte pe traseul de execuție.
Documentația protocolului Ostium menționează că seiful OLP deține colateralul traderilor și efectuează plăți onchain instant către tranzacțiile câștigătoare. Dacă profituri false sunt acceptate la decontare, lichiditatea seifului acoperă aceste plăți.
Estimările publice au crescut pe măsură ce urmărirea tranzacțiilor a avansat: Blockaid indică plăți apropiate de 18 milioane de dolari, Cyvers estimează 23,7 milioane de dolari, iar PeckShield a descris ulterior drenarea a aproximativ 24 milioane de dolari. Estimarea mai mică a SlowMist, de 11,86 milioane de dolari, pare să urmărească o ieșire din trezorerie de 11.862.444,782 USDC vizibilă în tranzacțiile citate.
PeckShield a mai declarat că USDC-ul retras a fost schimbat în 12.080 ETH, iar la momentul actualizării sale 10.540 ETH fuseseră trimiși către Tornado Cash. Kiernan-Linn a spus că Ostium colaborează cu autoritățile de aplicare a legii, SEAL 911 și experți de securitate terți.
Mecanismul descris diferențiază cazul Ostium de un incident similar produs cu patru zile înainte la protocolul de creditare Bonzo Lend din ecosistemul Hedera. Raportul Bonzo a indicat că validatorul a acceptat o dovadă fără o semnătură validă. În cazul Ostium, firmele de securitate susțin că raportul a trecut pe ruta semnatarului autorizat: autentificarea a reușit, dar datele ar fi fost nesigure.
Ostium trebuie încă să confirme dacă cheia semnatarului a fost compromisă, dacă operatori autorizați au acționat cu intenție malițioasă sau dacă au fost abuzate alte căi privilegiate. Măsurile de remediere—izolarea semnatarilor, limite stricte pentru timestamp, verificări independente ale prețului, limitarea ratei și "circuit breakers"—vor fi evaluate în funcție de capacitatea lor de a împiedica o cale "de încredere" să transforme câteva minute de date defectuoase într-o nouă plată din seif.