预言机攻击浪潮持续冲击 DeFi
撰文:ChandlerZ,Foresight News
7 月 15 日,Arbitrum 上的去中心化永续合约协议 Ostium 遭遇预言机攻击,OLP 流动性金库被抽走约 1800 万至 2400 万美元 USDC。攻击者利用一把泄漏的预言机签名密钥,通过协议自身的价格上报基础设施提交伪造的未来时间戳价格数据,循环开平仓约 20 次,将虚假利润从金库中逐轮提取。
安全公司 PeckShield 监测显示,Ostium 的公开 OLP 金库被盗约 2400 万枚 USDC。攻击者随后将这些资金兑换为约 12080 枚 ETH,其中已有 10540 枚 ETH 被转入 Tornado Cash。
攻击者最初通过 ChangeNow 和 Bybit 向钱包地址各转入 1 枚 ETH 作为初始资金。


Ostium 官方目前已宣布暂停所有交易,用户持仓保持开放且不可修改,交易保证金在冻结的交易智能合约中保持未动。团队将持续提供更新,内容涉及智能合约活动恢复以及资金回收的时间表,获得新进展将即刻发布公告。目前团队与相关当局、SEAL 911 以及多名安全研究人员保持持续协调。
用协议自己的基础设施攻击协议
Ostium 使用一套自定义的预言机系统追踪股票、大宗商品和外汇等现实世界资产的价格,由第三方自动化网络 Gelato 负责将价格数据按需推送上链。核心环节是一个名为 PriceUpKeep 的智能合约,每当交易需要执行时,它触发最新价格数据的链上写入。
Blockaid 最先披露攻击细节,根据分析,攻击的根源是一把预言机签名者的私钥被盗。这把密钥用于验证外部价格数据的真实性,持有它意味着可以向协议提交看起来完全合法的价格报告。攻击者利用这把密钥,通过已注册的 PriceUpKeep 转发器提交了带有未来时间戳的伪造价格数据。
具体操作路径为,攻击者以市场价格开仓,随后使用伪造的价格数据调用 performUpkeep 函数,让亏损的仓位在协议眼中变成巨额盈利,然后立即平仓提取利润。
安全公司 Decurity 分析了其中一笔交易,攻击者在单笔操作中从金库提取了约 1186 万美元 USDC。整个循环重复约 10 次,保证金从 1000 美元滚动到 8 万、再到 70 万美元,单轮回报率约 900%。

攻击者的初始资金来源已被追踪:通过免 KYC 兑换平台 ChangeNow 和交易所 Bybit 各获取 1 枚 ETH 作为启动资金,注入钱包地址 0x321D...8bfD9。
TVL 蒸发四成,损失尚未完全明确
Ostium 的 OLP 金库允许流动性提供者存入 USDC 获取 OLP 代币,金库通过交易活动产生的手续费向 LP 支付收益。这个设计使金库成为平台上每一笔交易的对手方。当攻击者通过伪造价格制造出虚假盈利时,「利润」直接从 LP 存入的资金池中流出。
攻击前,OLP 金库持有约 3400 万美元 USDC,协议 TVL 约为 6500 万美元骤降至 3783 万美元,这次攻击抽走了超过 40% 的流动性。

各安全公司对损失金额的估算存在差异,Blockaid 报告约 1800 万美元,CertiK 估计约 2200 万美元,PeckShield 给出的数字接近 2400 万美元。Ostium 本身尚未公布官方损失数字。
Ostium 在事件发生后发布声明称,已发现 OLP 金库的异常情况,已暂停所有交易,团队正在调查。协议同时建议所有用户临时撤销对其合约的授权。Ostium 确认交易者的资金和未平仓头寸以冻结状态保留,但尚未发布任何恢复计划或赔偿方案。
来自哈佛的创始人组合
Ostium 由哈佛校友 Kaledora Fontana Kiernan-Linn 和 Marco Antonio Ribeiro 创建,两人早期在剑桥的一间黑客屋里运行跨平台套利策略,多次被离岸 CFD 经纪商冻结账户和没收保证金。Kaledora 在 A 轮融资公开信中回忆,正是这些经历让团队决定构建一个自托管、定价透明的链上交易协议。
Ostium 定位为面向现实世界资产的去中心化永续合约交易所,支持股票、大宗商品、外汇和指数交易,最高杠杆 200 倍,以 USDC 结算。被攻击之前,协议累计处理超过 500 亿美元的交易量,超过 95% 的未平仓合约集中在 RWA 资产类别。
2025 年 12 月,Ostium 完成 2000 万美元 A 轮融资,由 General Catalyst 和 Jump Crypto 联合领投,加上此前未公开的 400 万美元战略轮,累计融资 2780 万美元,投后估值达 2.5 亿美元。跟投方包括 Coinbase Ventures、Wintermute、GSR 和 Susquehanna International Group(SIG),天使投资人包括前 Coinbase CTO Balaji Srinivasan。
2026 年 4 月,Ostium 上线去中心化执行层,Jump 等机构作为对冲合作方参与。

一个因不信任中心化平台而诞生的协议,最终被一个中心化组件击穿。智能合约经过审计,攻击的突破口却在预言机签名密钥的管理环节,完全位于合约审计的覆盖范围之外。Ostium 的预言机架构依赖单一签名者验证价格数据的合法性,一旦这把密钥泄漏,攻击者就能以协议认可的身份提交任意价格,整个验证流程形同虚设。
大多数安全审计公司的工作范围集中在智能合约代码本身,预言机基础设施的运维安全、密钥托管方案和签名者的访问控制通常被归类为运营安全,不在代码审计的合同范围内。合约逻辑的正确性和基础设施的安全性之间,存在一条审计无法触及的缝隙。Ostium 的攻击者恰好从这条缝隙中穿过。
一周三起预言机攻击
过去一周内,至少三个 DeFi 协议因预言机相关漏洞遭受重大损失。
7 月 11 日,Hedera 网络上的 Bonzo Finance 因 Supra 预言机暴露的价格数据漏洞损失 900 万美元。事后调查发现 Supra 在攻击前已在其他 11 条链上修复了同一漏洞,Hedera 是唯一未及时修补的部署。7 月 15 日(与 Ostium 同一天),DeFi 借贷平台 Summer.fi 宣布将永久关闭,此前一周 Summer.fi 因价格操纵攻击损失 600 万美元,运营七年的团队判断协议无法从事故中恢复。
根据 CertiK 近期发布的《Hack3D:2026 年上半年报告》,2026 年上半年 Web3 生态共发生 344 起安全事件,累计损失约 13.2 亿美元。若剔除 Bybit 遭遇的 14.5 亿美元安全事件影响,上半年损失规模同比增长约 28%。钱包被盗造成约 4.5 亿美元损失,为损失最高的攻击类型;代码漏洞仍是最常见攻击方式,共发生 204 起。
报告称,攻击者正更多瞄准高净值目标及缺乏重新审计的老旧智能合约,Web3 安全风险持续升级。
而对 Ostium 的 LP 而言,接下来有三个待观察节点,攻击者能否被识别、资金能否被追回,Ostium 如何对受损的 LP 进行赔偿,以及协议能否在加固预言机基础设施后恢复运营。截至发稿,三个问题尚无答案。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。