去中心化金融的安全防线,又一次被现实击穿了。北京时间2026年7月15日,部署在Arbitrum网络上的RWA(真实世界资产)永续合约平台Ostium,爆发了一起令人揪心的安全漏洞——整个流动性金库几乎被黑客“洗劫一空”。这不是什么小打小闹的合约逻辑bug,而是一起典型的密钥管理失守事件。
2025年主流加密货币交易所:
- 欧易OKX >>>进入官网<<< >>>官方下载<<<
- 币安Binance >>>进入官网<<< >>>官方下载<<<
预言机私钥外泄,黑客狂刷900%暴利
根据Blockaid等多家区块链安全机构的初步调查,这起攻击的核心并不在于智能合约本身的代码存在漏洞,而是出在了一个更底层、也更致命的地方:预言机签名者的私钥管理。攻击者疑似拿到了预言机签名者的私钥,然后绕过了系统验证,开始随心所欲地提交被篡改过的价格数据。
具体操作手法相当“巧妙”——黑客利用一个已经注册过的转发器,提交了未来日期的授权预言机报告,伪造出对自身有利的资产价格。简单来说,就是先拿少量USDC开一个比特币多头仓位,然后提交一份低价报告完成开仓,接着再提交一份高价报告来完成平仓。这一进一出,直接触发了平台设定的最高利润上限——900%。更狠的是,黑客通过委托操作,把这个循环重复了大约20次,每次都能从流动性金库里真金白银地“吸”走一笔钱。
损失逾1,800万美元,资金已分散转移
从Arbiscan的链上数据来看,这次攻击导致Ostium的主流动性金库流失了大约1,186万到1,800万美元的USDC。这笔损失占该平台总金库规模(超过3,400万美元)的35%左右。目前,黑客已经把一部分赃款兑换成了以太坊,并且分散转移到多个不同的钱&包地址——这显然是典型的规避追踪套路。
换句话说,平台三分之一的“家底”一夜之间被人搬空了。
曾获顶级机构2780万美元融资,官方急调查
Ostium这个项目其实来头不小。它专注于股票、商品、外汇与指数等非加密资产的去中心化永续合约交易,非加密资产的未平仓量占比超过95%,主要依赖Stork Network这样的预言机服务。过去的表现也算亮眼,累计交易量突破了500亿美元,还曾获得General Catalyst、Jump Crypto以及Coinbase Ventures等顶级创投高达2,780万美元的融资——这放在DeFi赛道里,妥妥的明星项目。
截至发稿时,Ostium团队还在进行全面的内部调查,官方的事后检讨报告尚未发布。团队呼吁用户密切关注官方X(前Twitter)和Discord等渠道,以获取后续的提款指引和安全更新。可以确定的是,这次事件给整个RWA与DeFi赛道敲了一记响亮的警钟:预言机密钥管理和实时监控机制,绝不是可以掉以轻心的“角落”。
