🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.
An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in 🧵
快讯》Arbitrum 上 RWA 永续合约平台 Ostium 遭黑 1800 万美元!预言机私钥泄露惹祸
Arbitrum 生態系傳出重大安全事件!專注於真实世界资产(RWA)的去中心化永续合约平台 Ostium 驚傳遭駭,因预言机(Oracle)私鑰外洩,遭駭客惡意操縱价格,損失高达 1,800 万美元 USDC,约佔其金庫资金的 35%。目前官方正緊急展开调查。
(前情提要:Dragonfly合夥人:DeFi「駭客末日」並未兌现,2026年被盜金額年化僅18.9亿美元)
(背景補充:Robinhood 創辦人直播洩助記詞!駭客炒 Meme 币,交易量飆 2000 万美元)
本文目錄
Toggle
去中心化金融(DeFi)领域的安全防線再度面臨嚴峻考验。台北时间 2026 年 7 月 15 日,部署於 Arbitrum 網路上的真实世界资产(RWA)永续合约平台 Ostium 爆发嚴重安全漏洞,導致其流动性金庫遭到駭客大肆洗劫。
预言机私鑰外洩,駭客狂刷 900% 暴利
根據 Blockaid 等多家区塊链安全机構的初步调查,本次攻擊的核心並非智能合约本身的代碼漏洞,而是致命的「预言机密鑰管理」疏失。攻擊者疑似取得了预言机簽名者(Oracle signer)的私鑰,藉此繞过系统验证,並恣意提交遭到操縱的价格數據。
駭客利用已註冊的转发器(PriceUpKeep forwarder)提交了未来日期的授權预言机报告,藉此偽造对自身有利的资产价格。其作案手法为:先使用少量的 USDC 开设比特币(BTC)多头部位,接著提交低价报告开倉,再提交高价报告平倉,瞬间觸发平台设定的最高 900% 利潤上限。透过委託操作(Delegated actions),駭客將此循環重複了约 20 次,不斷从流动性金庫中榨取资金。
損失逾 1,800 万美元,资金已分散转移
據 Arbiscan 链上數據顯示,本次攻擊導致 Ostium 主流动性金庫流失了约 1,186 万至 1,800 万美元的 USDC。这筆龐大的損失约佔該平台總金庫規模(超过 3,400 万美元)的 35%。目前,駭客已將部分贓款兌換为以太坊(ETH),並分散转移至多个不同的钱包地址,企圖規避追蹤。
曾獲顶級机構 2780 万鎂融资,官方急调查
Ostium 是一个專注於股票、商品、外匯与指數等非加密资产的去中心化永续合约平台,其非加密资产的未平倉量佔比高达 95% 以上,並採用 Stork Network 等预言机服務。該平台过去表现亮眼,累计交易量已突破 500 亿美元,並曾獲得 General Catalyst、Jump Crypto 以及 Coinbase Ventures 等顶級創投高达 2,780 万美元的融资。
截至发稿时,Ostium 團队仍在对此事件进行全面调查,尚未发布完整的官方事后檢討报告。官方呼籲用戶密切关注其 X(前 Twitter)与 Discord 等官方频道的最新公告,以獲取后续的提款指引与安全更新。这起事件也再次为整个 RWA 与 DeFi 賽道敲響了警鐘,凸顯了预言机密鑰管理与即时監控机制的絕对重要性。