根據區塊鏈安全公司 Blockaid 的分析,部署在「阿比特rum(ARB)」上的去中心化金融(DeFi)項目「Ostium」近日遭遇「精密攻擊」,疑似因「預言機(Oracle)價格數據」被惡意操控,導致約 1,800 萬美元、約「2,680 億韓元」規模的「USDC」資金自平台中被轉移。
Blockaid 指出,攻擊者鎖定的是 Ostium 的「流動性金庫」,透過竄改「價格回報與時間戳」的組合,製造出系統誤判的「虛假收益」,最終觸發合約自動將資金「正常出金」至攻擊者控制的錢包地址。「評論」這類攻擊不靠暴力破解,而是利用協議自身邏輯,難以被即時偵測。
根據鏈上數據,這起攻擊的核心在於 Ostium 的自動化基礎設施——「PriceUpKeep 轉發器」。攻擊者提交包含「未來時間戳」的價格數據,使系統誤以為在特定時間段內出現了對平台「極為有利」的交易結果。這些被「時間操控」過的報價,被合約視為「已實現利潤」,進而從「流動性金庫」中自動撥出約 1,800 萬美元的 USDC 作為結算。
換言之,弱點不只在「價格數字本身」,更在於「這筆價格屬於哪一個時間點」。當「價格」與「時間」這兩個關鍵維度被一併利用時,以「價格資料可信度」為前提設計的「DeFi 協議」就會暴露出結構性漏洞。「評論」預言機往往被視為「單一真相來源」,一旦時間維度缺乏嚴格驗證,整套「收益計算」邏輯就可能被顛覆。
Ostium 是構建在阿比特rum(ARB) 上的「去中心化無期限合約交易所」,主打原物料、外匯、股指等「實體資產」的鏈上交易,並提供最高 200 倍槓桿。該平台採用自研的「價格饋送系統」,再由外部自動化網路「Gelato」負責將價格寫入鏈上,關鍵觸發機制則是「PriceUpKeep 智能合約」。
問題在於,當某一方能掌握「特定權限」或「繞過正常存取路徑」時,就有機會在價格資料上鏈前後,動手腳改變「提交時點」或「價格內容」。這次事件中,攻擊者正是鎖定了這一環節,透過操縱「PriceUpKeep」相關流程,讓本應反映真實市場狀況的價格回報,變成可以被「編排」的數據流。
本次事件也被視為近期「DeFi 預言機與 Keeper 系統攻擊」連環案例的一部分。就在上週,以太坊生態中的借貸與策略平台「Summer.fi」也遭遇約 600 萬美元資金外流,同樣與「自動化執行邏輯」與「價格路徑」被扭曲有關。
這類攻擊往往不是傳統意義上的「駭入伺服器」,而是透過奪取或偽裝成系統內「被信任的角色」,進而操控關鍵流程,例如「價格更新」、「策略執行」或「清算觸發」。資金並非直接被盜走,而是經由一連串「系統認可的合法操作」被轉出。「評論」這種模式讓單純的安全審計難以完全防堵,更需要針對角色權限與資料流程做動態風險管理。
有安全專家指出,「預言機就像 DeFi 的心臟,一方面負責輸送市場真實價格,另一方面也可能成為『單點故障』。當攻擊者能操控心臟輸出的數據,整個金融系統的判斷就會被誤導。」
Ostium 項目本身成長迅速。根據公開資訊,Ostium 在 2025 年底完成由「General Catalyst」與「Jump Crypto」共同領投的 A 輪融資,募資額約 2,400 萬美元,累計融資總額達到 2,780 萬美元,平台「累積交易量」亦已突破 500 億美元。這樣的高速擴張,原本被視為「鏈上實體資產衍生品」的一大成功範例。
然而,這次約 1,800 萬美元、約「2,680 億韓元」的 USDC 外流,讓外界重新檢視該專案在「預言機設計」、「自動化基礎設施」與「權限管理」上的結構性風險。市場普遍認為,這不僅是單一協議事件,更是對整個「以程式碼為信任基礎」的 DeFi 生態一次警示。
目前,DeFi 市場依舊建立在「程式碼即法律」與「資料即真相」的信念之上。但本次 Ostium 事件顯示,只要「資料輸入過程」出現偏差或被惡意操控,再完美的「智能合約邏輯」也會在一瞬間失去意義。「評論」未來預言機、Keeper 以及自動化執行框架,勢必要引入更嚴謹的「多來源驗證」、時間一致性檢查與風險熔斷機制,否則類似攻擊仍可能在新一輪 DeFi 熱潮中持續上演。
留言 0