游乐游手机版
首页/web3.0/文章详情

Ostium永续合约DEX遭黑客攻击 损失1800万美元

时间:2026-07-16 11:07
据报道,本次攻击中,Arbitrum生态RWA永续合约平台Ostium遭攻击,造成损失约1800万美元,占其金库总额35%。攻击者通过攻破预言机签名者私钥,利用已注册转发器提交未来有利价格,循环开平仓交易,最终耗尽所有资金。目前官方尚未回应。

Arbitrum 生态遭重创:RWA 永续合约平台 Ostium 被攻击,1800 万美元金库资金被盗

2025 年 7 月 15 日,Arbitrum 生态内专注于 RWA(真实世界资产)永续合约交易平台 Ostium 遭遇重大安全攻击。据初步统计,本次攻击造成的预估损失高达 1800 万美元,这一数字约占其总金库规模(超过 3400 万美元)的 35%。截至发稿,Ostium 官方尚未就此事件作出任何公开回应,社区与投资者正处于高度不安之中。

适合国内用的虚拟币交易所

此次攻击不仅暴露了 DeFi 协议在预言机安全私钥管理 方面的深层漏洞,也为整个 RWA 赛道永续合约 DEX 敲响了警钟。以下是对该事件的完整技术复盘与行业影响分析。

攻击手法全面还原:预言机私钥失守,PriceUpkeep 成突破口

根据区块链安全团队与社区分析,攻击者的入侵路径非常清晰且极具针对性。入侵者首先成功攻破了预言机签名者的私钥——这是整个攻击链中最关键的一环。获得私钥后,攻击者利用 Ostium 协议中已注册的 PriceUpkeep 转发器,向系统提交了未来时间点的有利价格数据

具体而言,攻击者通过以下步骤完成资产窃取:

  • 私钥窃取:入侵者通过未知手段(可能涉及钓鱼、供应链攻击或内部泄露)获取了预言机签名者的私钥控制权。
  • 价格操控:利用已注册的 PriceUpkeep 转发器,提交指向未来时间窗口的伪造价格数据,使系统认为市场出现了有利的价格波动。
  • 循环开平仓:攻击者基于被篡改的价格,反复执行开仓和平仓操作,每次都利用价格差产生“盈利”,从而持续从金库中提取资金。
  • 资金耗尽:通过多轮循环操作,攻击者逐步耗尽金库中的资产,最终造成约 1800 万美元的损失。

该攻击手法被业内专家称为“预言机价格前瞻型攻击”,其核心在于对时间戳验证签名验证机制的绕过。Ostium 协议在设计上允许注册的转发器提交带有未来时间戳的价格数据,这一原本用于提高交易效率的功能,最终成为了被利用的致命漏洞。

损失评估:1800 万美元占金库 35%,对 Arbitrum 生态造成冲击

Ostium 作为 Arbitrum 生态中 RWA 永续合约领域的代表性协议,其 TVL(总锁仓价值)曾一度超过 4000 万美元。本次攻击直接导致 1800 万美元 的资金流失,相当于金库规模的 35%,这对于任何 DeFi 协议而言都是沉重打击。

根据链上数据分析,被盗资产主要包括主流稳定币(USDC、USDT)以及部分 ETH。攻击者在得手后,已将部分资金通过跨链桥转移至其他网络,使得追回难度大幅增加。目前,多家安全公司和社区团队正在对攻击地址进行追踪,但官方迟迟未发布声明,令社区担忧事件可能进一步恶化。

值得注意的是,Ostium 此前曾被多个 DeFi 安全审计机构审计,但本次事件表明,传统审计流程可能无法覆盖预言机签名者私钥泄露 这一高风险场景。这也意味着,即使协议代码本身无漏洞,私钥管理不善依然会引发灾难性后果

行业警示:DeFi 预言机安全与私钥管理亟需升级

Ostium 攻击事件并非孤例。回顾 2024 年至 2025 年,DeFi 生态因预言机相关漏洞造成的累计损失已超过 5 亿美元,其中涉及 RWA 和永续合约协议 的比例正在持续上升。这一趋势表明,预言机安全已经成为 DeFi 协议最脆弱的一环

针对本次事件,行业专家提出以下核心安全建议:

  • 强化私钥管理:预言机签名者私钥应采用 MPC(多方计算)或多签方案进行分散存储,避免单点泄露风险。
  • 时间戳验证机制升级:协议应严格限制 PriceUpkeep 转发器提交未来时间戳的权限,或引入链上时间戳验证逻辑。
  • 实时监控与异常检测:部署链上交易监控系统,对价格异常波动和频繁开平仓行为进行实时告警。
  • 增强审计覆盖范围:安全审计不仅要审查合约代码,还应覆盖预言机签名流程、私钥存储方案等链下组件。
  • 事件响应预案:协议应建立透明、高效的事件响应机制,在发生攻击时及时与社区沟通并采取措施。

对于 RWA 赛道而言,Ostium 事件还带来了一个更深层的挑战:当真实世界资产被代币化后,其价格数据依赖于预言机传输,而一旦预言机被操控,底层资产的价值支撑也将受到质疑。这不仅影响单个协议,还可能波及整个 RWA 生态 的可信度。

结语:Ostium 事件折射 DeFi 安全治理短板

Ostium 被攻击事件是 2025 年 DeFi 安全领域的又一次严重教训。1800 万美元的损失、35% 的金库缩水,以及官方至今的沉默,都让社区对 Arbitrum 生态中 RWA 协议的安全性 产生了深刻疑虑。更重要的是,这一事件再次证明:预言机安全不是单一的合约问题,而是需要从私钥管理、权限控制、链下流程等多维度协同解决的系统性挑战

对于 DeFi 开发者和项目方而言,Ostium 事件应当成为一次彻底的“安全压力测试”:如果在最坏情况下(私钥泄露)依然能确保资金安全,协议才真正具备抗风险能力。而对于投资者和用户,选择协议时应将预言机安全架构私钥管理方案作为核心评估指标,而非仅仅关注收益率和 TVL。

截至发稿,Ostium 官方仍未发布任何正式回应。社区将持续关注事件后续进展,包括是否启动赔偿计划、协议是否会进行安全升级,以及攻击资金的最终流向。无论如何,本次攻击都将成为 DeFi 安全史上又一个值得深入研究的案例,推动行业在预言机安全私钥治理方面建立更严格的行业标准。

来源:https://www.allfinanz.cn/GameFi/131867.html
上一篇SPA币科普:苏格拉底代币原理、购买与价格预测 下一篇Sui 借 PassKeys 简化资产工具操作:用 Face ID 和指纹签署智能合约是怎么回事?
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多