​​Оновлення! Платформу RWA-перманентних (безстрокових) контрактів Ostium на Arbitrum зламали на 18 млн доларів США! Утеча приватного ключа оракула спричинила біду

Екосистема Arbitrum повідомляє про важливий інцидент безпеки! Децентралізована платформа безстрокових контрактів із фокусом на реальних активах (RWA) Ostium несподівано стала жертвою хакерської атаки: через витік приватного ключа оракулу (Oracle) зловмисники навмисно маніпулювали цінами, завдавши збитків на суму до 1,800 萬 доларів США USDC — це приблизно 35% коштів його казни. Наразі офіційна команда терміново розгортає розслідування.
(Контекст: партнер Dragonfly: обіцянка DeFi «день хакера» не здійснилася; у 2026 році викрадена сума в річному обчисленні становить лише 18.9 млрд доларів США)
(Додаткові відомості: засновник Robinhood проводить прямий ефір і розкриває seed-фразу! Хакери розганяють Meme-коіни, обсяг торгів злітає до 2000 萬 доларів США)

Зміст статті

Toggle

  • Витік приватного ключа оракула, хакери шалено «накачує» 900% надприбутку
  • Збитки понад 1,800 萬 доларів США, кошти вже розподілено та переведено
  • Залучили фінансування на 2780 萬 доларів США від топових інституцій, офіційні служби терміново проводять розслідування

Захисні бар’єри в сфері децентралізованих фінансів (DeFi) знову зіткнулися з серйозним випробуванням. За таймзоною Тайбея 15 липня 2026 року на платформі безстрокових RWA-контрактів Ostium, розгорнутій у мережі Arbitrum, стався критичний інцидент із безпекою: це призвело до того, що ліквідність із казни платформи було масштабно вкрадено хакерами.

Витік приватного ключа оракула, хакери шалено «накачує» 900% надприбутку

Згідно з попередніми висновками кількох блокчейн-екосистем безпеки, зокрема Blockaid, суть цієї атаки полягала не в програмній уразливості самого смартконтракту, а в фатальній помилці «керування секретними ключами оракула». Зловмисник, імовірно, отримав приватний ключ орієнтиру підписника оракула (Oracle signer), завдяки чому обійшов перевірки в системі та свавільно надсилав маніпульовані дані про ціни.

🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.

An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in 🧵

— Blockaid (@blockaid_) July 15, 2026

Хакери використали вже зареєстрований пересилальник (PriceUpKeep forwarder), щоб подати авторизовані звітні дані оракула з майбутніми датами, тим самим підробивши ціну активів на свою користь. Схема виглядала так: спочатку за допомогою невеликої кількості USDC відкривали позицію на купівлю біткоїна (BTC), далі подавали звіт із низькою ціною для відкриття, а потім подавали звіт із високою ціною для закриття — миттєво спрацьовувала встановлена платформою верхня межа прибутку 900%. Використовуючи делеговані дії (Delegated actions), зловмисники повторили цей цикл приблизно 20 разів, безперервно вичавляючи кошти з ліквіднісної казни.

Збитки понад 1,800 萬 доларів США, кошти вже розподілено та переведено

Згідно з даними в мережевому оглядачі Arbiscan, атака спричинила втрату Ostium основною ліквіднісною казною приблизно 1,186 萬 до 1,800 萬 доларів США USDC. Така масштабна втрата становить близько 35% від загального розміру казни платформи (понад 3,400 萬 доларів США). Наразі хакери вже конвертували частину викрадених коштів у ефір (ETH) і розподілено перевели їх на кілька різних адрес гаманців, намагаючись уникнути відстеження.

Залучили фінансування на 2780 萬 доларів США від топових інституцій, офіційні служби терміново проводять розслідування

Ostium — це децентралізована платформа безстрокових контрактів, що орієнтується на некриптові активи на кшталт акцій, товарів, валют та індексів; частка відкритих позицій для некриптових активів сягає понад 95%, а для роботи використовуються сервіси оракула на кшталт Stork Network. У минулому платформа демонструвала вражаючі результати: сукупний обсяг торгів уже перевищив 500 億 доларів США, і вона раніше залучала інвестиції на суму до 2,780 萬 доларів США від топових венчурних фондів, таких як General Catalyst, Jump Crypto та Coinbase Ventures.

Станом на момент підготовки матеріалу команда Ostium все ще проводить повне розслідування цього інциденту та не опублікувала повного офіційного звіту за підсумками. Офіційні служби закликають користувачів уважно стежити за своїми X (колишній Twitter) та Discord — щоб отримувати подальші інструкції щодо зняття коштів і оновлення з безпеки. Цей інцидент знову став нагадуванням для всієї ніші RWA та DeFi, підкресливши абсолютну важливість керування секретними ключами оракула та механізмів миттєвого моніторингу.

ARB-2,57%
RWA-0,42%
MEME-1,24%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено