Ostium заплатил $18 млн за цены, которых ещё не существовало

iEXExchanger
Ostium заплатил $18 млн за цены, которых ещё не существовало

Хакер получил доступ к ключу ценового оракула Ostium и провёл сделки по котировкам «из будущего» — DeFi-биржа на Arbitrum лишилась от $18 до $24 млн за пять минут.

Пять минут — именно столько потребовалось неизвестному, чтобы вывести из децентрализованной биржи Ostium от $18 до $24 млн. Атака сработала не через взлом кошелька и не через уязвимость смарт-контракта в привычном понимании, а через данные о ценах, которых физически ещё не существовало.

Ostium — DeFi-платформа на Arbitrum, где трейдеры торгуют бессрочными контрактами на сырьё, валютные пары и фондовые индексы с плечом до 200x, а расчёты идут в USDC. К лету 2026 года через биржу прошло свыше $50 млрд оборота, а в декабре 2025-го проект привлёк $24 млн от General Catalyst и Jump Crypto.

15 июля, в промежутке между 14:18 и 14:23 по UTC, кто-то получил контроль над ключом авторизованного оракула — сервиса, который поставляет бирже актуальные цены активов. Через автоматизацию PriceUpKeep на базе сети Gelato в систему прошли ценовые отчёты с будущей меткой времени. Проверка подписи их пропустила: протокол сверял, что данные подписаны нужным ключом, но не сверял, могла ли эта цена вообще существовать в момент запроса. В итоге сделки открывались и мгновенно закрывались с гарантированной прибылью, а общий пул ликвидности расплачивался по этим «выигрышам» настоящими деньгами.

Оценки ущерба разнятся: SlowMist называет $11,86 млн, Blockaid — около $18 млн, Cyvers — $23,7 млн, PeckShield по итогам отслеживания движения средств — почти $24 млн. Соосновательница Ostium Каледора Кирнан-Линн подтвердила инцидент и заявила, что команда заметила неладное «в течение минут», торговля была остановлена, а к расследованию подключили правоохранителей. Что стало причиной — украденный ключ подписанта или действия недобросовестного оператора внутри системы — проект пока не раскрыл, как и планы по компенсации пользователям.

Ostium — не первая жертва такой схемы в этом месяце. Четырьмя днями ранее протокол Bonzo Finance на Hedera потерял $9 млн из-за открытого ценового оракула от Supra, хотя уязвимые версии на 11 других сетях к тому моменту уже были залатаны. А накануне DeFi-сервис Summer Finance лишился $6 млн из-за манипуляции ценами и объявил, что после семи лет работы сворачивается. По данным аналитиков, за первую половину 2026 года индустрия DeFi потеряла свыше $900 млн в 87 инцидентах, и больше 80% из них связаны именно с компрометацией ключей или атаками на мосты, а не с багами в коде смарт-контрактов.

Получается парадокс: сами смарт-контракты Ostium отработали ровно так, как запрограммированы — поверили подписи, которой доверяли. Слабым местом оказался не код, а сама архитектура доверия к внешним источникам данных. Пока протоколы не научатся проверять не только «кто подписал», но и «могло ли это вообще быть правдой», подобные истории с оракулами будут повторяться.

Вопросы и ответы

Частые вопросы по теме статьи

Что случилось с Ostium?

15 июля 2026 года неизвестный получил доступ к ключу ценового оракула децентрализованной биржи Ostium на Arbitrum и за пять минут вывел из общего пула ликвидности от $18 до $24 млн. Торговля на платформе была немедленно остановлена.

Как сработала атака с ценами «из будущего»?

Атакующий отправил через автоматизацию PriceUpKeep ценовые отчёты с меткой времени из будущего. Протокол проверял только подпись оракула, но не проверял, могла ли такая цена существовать в момент запроса — это позволило открыть и закрыть сделки с гарантированной прибылью.

Сколько денег потеряла биржа?

Оценки разнятся у разных аналитических компаний: от $11,86 млн по данным SlowMist до почти $24 млн по данным PeckShield. Точная сумма пока официально не подтверждена.

Это часть более крупной тенденции взломов DeFi?

Да. Всего за неделю до этого протокол Bonzo Finance потерял $9 млн из-за похожей уязвимости оракула, а Summer Finance лишился $6 млн и объявил о закрытии. За первое полугодие 2026 года DeFi-сектор потерял свыше $900 млн в 87 инцидентах.