Ostium 金库被盗:DeFi 安全又出事吗?

CN
1小时前

2026 年 7 月 16 日,去中心化永续合约协议 Ostium 的公共 OLP 金库被突袭,这个原本承载流动性提供者核心资金的池子,在短时间内被彻底掏空。据 PeckShield 监测,攻击者先通过 ChangeNow 和 Bybit 各向相关地址注入 1 枚 ETH 作为“启动资金”,随即利用尚未公开的漏洞,对金库发起攻击,一次性卷走约 2,400 万枚 USDC。更关键的是,这笔资金在链上几乎没有停留:被盗 USDC 很快被兑换为约 12,080 枚 ETH,其中约 10,540 枚 ETH 已分批流入以太坊混币服务 Tornado Cash,剩余约 1,540 枚 ETH 的去向尚未公开披露,成为追踪链上资金路径的关键空白。在 2026 年已经频繁出现针对 DeFi 流动性金库的攻击背景下,Ostium 公共金库这一集中承载用户资产的设计,一旦被攻破就演变为系统性损失,这次事件再次把 DeFi 在“资金高度聚集以提高资本效率”和“资产保护边界极易被突破”之间的结构性矛盾暴露在聚光灯下。

公共 OLP 金库失守:Ostium 被精准狙击

在设计上,Ostium 是一套去中心化永续合约协议,前端承载的是交易界面和杠杆工具,真正支撑起这些杠杆与仓位的是背后的公共 OLP 金库——Ostium Liquidity Provider 池。用户把资金集中存入 OLP,由协议统一承担做市、对赌与清算风险,这种“共享金库”结构用更高的资本效率换来了更高的集中度:只要金库合约保持安全,流动性提供者就能按规则赚取费用;一旦金库被击穿,承载在其上的所有仓位和用户资产,会在很短时间内同步暴露于同一个攻击面。

这次事件中,遭到攻击的并非某个粗心用户的钱包,而是整个公共 OLP 金库本身,约 2,400 万枚 USDC 在一次合约层面的打击中被整体抽空,被盗资产随即被统一兑换为约 12,080 枚 ETH,再分批送入 Tornado Cash。对攻击者而言,这是一次对核心金库合约的“精准锁定”,只要找准权限管理、参数配置或合约逻辑中的薄弱环节,就能直接改写金库资产的归属;对协议和流动性提供者而言,这种架构下的单点失守,会迅速放大为系统性损失。放回 2026 年以来频繁出现的类似案例中,可以看到许多 DeFi 协议在金库设计与权限分层上都存在共通的脆弱点——过于集中的资产托管与过于集中的控制权——而 Ostium 的这次被狙击,再次说明这些结构性风险并没有被真正解决。

从 ChangeNow 到 Tornado

在这次金库被狙击之前,链上已经给出了一条清晰的“预备动作”路径。PeckShield 的监测显示,攻击者先通过 ChangeNow 和 Bybit,各向同一关联地址转入 1 枚 ETH,完成最小启动资金的注入。这两笔看似普通的充值,一前一后为后续合约交互“暖机”:有了 gas,有了测试环境,紧接着就是对 Ostium 公共 OLP 金库的正式下手。到 2026 年 7 月 16 日攻击落地时,约 2,400 万枚 USDC 被从金库中抽走,在极短时间内被统一兑换为约 12,080 枚 ETH,从稳定面值资产瞬间转化为更易在链上快速拆分和转移的通用筹码。

真正让追踪变得艰难的,是兑换之后的路径选择。同样据 PeckShield 数据,这 12,080 枚 ETH 中,约 10,540 枚被分批送入 Tornado Cash——一笔笔拆分、多次交互,最终有约 87% 的攻击所得进入这套混币服务,在链上打出典型的“攻击—套现—混淆”模式。Tornado Cash 本身并不暴露出后续接收方,这意味着从金库流出的绝大部分资金已经进入难以穿透的黑箱。而剩余约 1,540 枚 ETH 至今尚未被公开披露具体去向,是目前资金追讨链路上最大的空白,也是判断攻击者是否仍在场内活动、是否有二次转移风险时绕不开的核心不确定性。

金库失守后:Ostium 用户信心的考验

从链上结果看,约 2,400 万枚 USDC 已从 Ostium 公共 OLP 金库被抽走并迅速洗散,这对一个以金库为永续合约核心保障的中小型协议而言,几乎等同于心脏骤停。行业过往多起金库被盗事件显示,一旦核心资金池被打穿,相关协议的 TVL 往往在短时间内明显下滑,若存在协议代币,也会因为预期恶化而出现价格承压,这并不是市场情绪“过度反应”,而是用户在流动性安全受到质疑时的本能防御。

在这样的场景下,用户的典型路径是:先撤,后看,再决定是否回流。资金提供者会本能地选择从剩余金库或关联产品中撤出资产,观察团队是否能解释攻击成因、封堵漏洞并提出赔付或修复方案;交易用户则倾向于降低杠杆、减少在协议上的敞口,把未实现风险锁在自己熟悉的钱包里。2026 年以来,DeFi 流动性金库频繁出事,让这套“先抽再谈”的集体心理更加牢固。截截至 2026 年 7 月 16 日,公开材料中尚未看到 Ostium 团队就本次事件给出详细官方处置或补偿方案,在金库已经失守、攻击路径尚未完全还原的当下,市场情绪只能在猜测与担心之间摇摆,用户信心也被迫停留在一种未获有效安抚的悬而未决状态。

频发金库攻击下的 DeFi 安全隐忧

如果把 Ostium 放回 2026 年的时间轴,它并不是一场突如其来的孤立事故。研究材料已经指出,2026 年以来,被瞄准的往往是类似 Ostium 公共 OLP 金库这样的流动性核心仓位,攻击者直接对协议的“资金心脏”下手。许多项目在金库权限、防护措施和应急机制上,仍停留在“做过几轮审计、出事再补救”的范式,真正的实时监控和事前防御并未形成行业共识。此次事件中,链上异常首先由 PeckShield 等安全机构捕捉并披露,多家媒体在同一天跟进报道,而截至 2026 年 7 月 16 日,协议方尚未公开详细处置或补偿方案,这种信息真空本身就是当前 DeFi 安全治理的一部分症状。

在这条资金路径上,一个反复出场的老角色再次成为焦点——Tornado Cash。攻击完成后,被盗的约 2,400 万枚 USDC 很快被兑换成约 12,080 枚 ETH,其中约 10,540 枚、也就是接近 87% 的偷盗资产已经分批流入以太坊上的混币服务 Tornado Cash,而约 1,540 枚 ETH 的去向仍未在公开材料中被明确标注。对于试图在链上还原事件的安全团队和潜在的司法协助而言,资金一旦进入混币池,溯源链条几乎被就地切断,混币工具在隐私保护与攻击洗钱之间摇摆的角色也因此被推到争议中心。在 Ostium 之后的这条链上轨迹面前,DeFi 行业不得不承认,真正的安全问题已经远远超出了单个协议的审计报告。

行业警报升级:Ostium 与 DeFi 安全

Ostium 公共 OLP 金库在短时间内被掏空约 2,400 万枚 USDC、再被迅速兑换成约 12,080 枚 ETH,其中约 10,540 枚 ETH 已经被送入 Tornado Cash、仅剩约 1,540 枚 ETH 去向未明,这种“金库被直接抽走”的场景,对整个 DeFi 世界关于协议安全的想象力是一次现实中的重击。对参与者而言,这不是某个合约审计报告里的抽象风险,而是直接作用在流动性提供者核心资金池上的损失,在“收益”与“金库可能被清空”的风险之间,所有人都被迫重新校准自己的风险偏好和仓位结构。接下来,两个观察点将决定 Ostium 事件在行业叙事中的走向:其一,Ostium 团队是否在链上资金基本“漂白”之后,仍然拿出清晰的处置与补偿方案,加入到过去少数项目曾尝试过的“与攻击者白帽化谈判或主动兜底用户”的路径之中;其二,尚未洗出的约 1,540 枚 ETH 是否出现回流、谈判标记或其他链上信号,为安全机构和司法协助保留追踪空间。多家安全机构和媒体在同一天同步跟进此案,已经说明流动性金库安全和混币工具使用正成为 2026 年 DeFi 的核心议题,Ostium 之后,真正需要被谨慎对待的,不只是单个项目的审计结果,而是整个行业能否在收益叙事之外建立起更高的金库安全和协议防护标准。

加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接