Ostium tạm dừng giao dịch sau sự cố oracle khiến kho thanh khoản thất thoát tối đa 18 triệu USDC

Tóm tắt thị trường bằng AI
Ostium đã tạm dừng giao dịch trên Arbitrum sau khi một vụ thao túng oracle/keeper được cho là đã rút cạn khoảng ~$12M–$18M USDC khỏi kho thanh khoản của giao thức, gây thiệt hại đáng kể so với TVL khoảng ~$63M. Sự cố này củng cố rủi ro hạ tầng DeFi dai dẳng xoay quanh các cơ chế cung cấp giá đáng tin cậy, đặc biệt đối với các hợp đồng vĩnh cửu tài sản thực (real-world-asset), và có thể gây áp lực lên khẩu vị rủi ro đối với các nền tảng phái sinh trên Arbitrum và các giao thức tương tự phụ thuộc vào oracle cho đến khi việc hạch toán tổn thất và biện pháp khắc phục được làm rõ.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
BTC/USDT+0.69%
Quan điểm AI · BTC/USDTQuan điểm AI
▼ Giá giảm
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Ostium, sàn giao dịch hợp đồng vĩnh cửu trên Arbitrum tập trung vào tài sản thế giới thực (RWA) và từng huy động khoảng 27,8 triệu USD từ các nhà đầu tư như General Catalyst và Jump Crypto, đã tạm dừng toàn bộ hoạt động giao dịch vào thứ Tư sau khi bị tấn công vào hệ thống oracle. Theo thông tin ban đầu, kẻ tấn công đã thao túng cơ chế báo giá để rút tối đa khoảng 18 triệu USDC từ kho thanh khoản của giao thức. Blockaid, công ty bảo mật on-chain, cho biết đối tượng "đã sử dụng forwarder PriceUpKeep đã được đăng ký và các báo cáo oracle được ủy quyền nhưng gắn mốc thời gian trong tương lai để tạo ra lợi nhuận giao dịch giả, từ đó kích hoạt khoản chi trả khoảng 18 triệu USDC từ vault". Blockaid cũng công bố giao dịch khai thác lỗ hổng và địa chỉ của kẻ tấn công, đều diễn ra trên Arbitrum. Giao dịch được nhắc tới là 0x359f8c05...d4870e0 và đã được xác nhận trên chuỗi. Con số thiệt hại hiện chưa thống nhất. Blockaid ước tính khoản chi trả khoảng 18 triệu USD, trong khi một số nhà quan sát on-chain độc lập cho rằng số tiền bị rút thấp hơn, có ước tính quanh mức 11,86 triệu USD. Ostium chưa công bố báo cáo đối soát thiệt hại của riêng mình. Theo dữ liệu DefiLlama, ngay trước thời điểm xảy ra sự cố, Ostium có tổng giá trị khóa (TVL) khoảng 63,3 triệu USD. Nếu đúng như vậy, ngay cả kịch bản thiệt hại thấp cũng chiếm tỷ trọng đáng kể trong số dư vault. Vụ việc được xem là mắt xích mới trong chuỗi khai thác nhắm vào hệ thống "keeper" tự động và oracle, các thành phần mà giao thức DeFi dùng để đưa giá tài sản ngoài đời thực lên on-chain. Summer.fi từng thiệt hại khoảng 6,04 triệu USD do thao túng giá cổ phần vào ngày 6/7, theo báo cáo hậu kiểm. Tháng 4/2025, KiloEx bị rút khoảng 7,5 triệu USD trên ba blockchain khi kẻ tấn công giả mạo một keeper đáng tin cậy để cung cấp giá sai, với cấu trúc tương tự mô tả của Blockaid về Ostium. Mẫu số chung nằm ở việc cơ chế chuyển giá thường được mặc định đáng tin cậy; khi bị kiểm soát, giao thức có thể thanh toán cho các giao dịch chỉ tồn tại trên sổ sách. Ostium đã xác nhận sự cố và tạm dừng thị trường. Trên X, dự án viết: "Chúng tôi đã nhận thấy vấn đề với OLP vault. Chúng tôi đã tạm dừng toàn bộ giao dịch. Đội ngũ đang điều tra." Ostium cho phép người dùng giao dịch hợp đồng vĩnh cửu đối với vàng, dầu, các chỉ số cổ phiếu và ngoại hối trực tiếp từ ví crypto, thanh toán bằng USDC trên Arbitrum, một mạng Layer 2. Theo Ostium, OLP vault đã ghi nhận tổng khối lượng giao dịch lũy kế hơn 33 tỷ USD trên hơn 50 thị trường. Blockaid cho biết thành phần bị lợi dụng nằm trong vùng mà Ostium từng yêu cầu các nhà nghiên cứu bảo mật coi là an toàn. Tài liệu phạm vi chương trình bug bounty của Ostium nêu rằng mọi keeper đã đăng ký, gồm cả PriceUpKeep, "và các forwarder của họ được giả định là đáng tin cậy và vận hành đúng"; các phát hiện đòi hỏi keeper bị xâm phạm hoặc có hành vi độc hại sẽ không thuộc phạm vi chương trình. Cơ chế khai thác và mức thiệt hại tối đa 18 triệu USD hiện dựa trên kết luận do Blockaid công bố và chưa được đối soát độc lập. Bài viết của Blockaid đề cập "forwarder đã đăng ký" và "các báo cáo oracle được ủy quyền nhưng mang mốc thời gian tương lai"; nội dung không nói rõ có khóa riêng nào bị lộ, dù một số mô tả khác về vụ việc lại diễn giải theo hướng đó. Ostium chưa xác nhận cách kẻ tấn công có được khả năng nộp các báo cáo nói trên và cũng chưa công bố con số thiệt hại cuối cùng.