Бес минут — белгісіз шабуылшыға орталықсыздандырылған Ostium биржасынан 18-24 миллион долларды алып кетуге осыншама уақыт жеткілікті болды. Шабуыл әдеттегідей әмиянды бұзу немесе кодтағы кемшілікті пайдалану арқылы емес, әлі іс жүзінде болмаған баға арқылы жүзеге асты.
Ostium — Arbitrum желісіндегі DeFi платформасы, онда трейдерлер шикізатқа, валюта жұптарына және биржа индекстеріне 200x-ке дейінгі иіліммен мерзімсіз келісімшарттар ашады, есеп айырысу USDC-де жүреді. 2026 жылдың ортасына қарай биржа арқылы $50 млрд-тан астам айналым өтті, ал 2025 жылдың желтоқсанында жоба General Catalyst пен Jump Crypto бастаған A сериясынан $24 млн тартты.
15 шілдеде, UTC бойынша 14:18-ден 14:23-ке дейінгі аралықта, біреу протоколға ағымдағы бағаларды жеткізетін компонент — уәкілетті оракул қолтаңбашысын бақылауға алды. Gelato желісі негізіндегі PriceUpKeep автоматтандыруы арқылы жүйеге болашақ уақыт белгісі бар баға есептері өтіп кетті. Тексеруші тек есептің сенімді қолтаңбашыдан келгенін тексерді, бірақ мұндай баға сол сәтте жалпы бола алатынын тексермеді. Мәмілелер бірден ашылып, кепілді пайдамен жабылып отырды, ал ортақ ликвидтілік қоймасы ешқашан табылмаған табыс үшін нақты USDC төледі.
Шығын бағалары компанияға қарай әртүрлі: SlowMist $11,86 млн дейді, Blockaid шамамен $18 млн, Cyvers $23,7 млн, ал қаражат қозғалысын қадағалаған PeckShield бойынша — $24 млн-ға жуық. Ostium серіктес негізін қалаушысы Каледора Кирнан-Линн оқиғаны растап, команда мұны «бірнеше минут ішінде» байқағанын, сауда тоқтатылғанын және құқық қорғау органдары тартылғанын хабарлады. Себебі ұрланған қолтаңба кілті ме, әлде жүйе ішіндегі адал емес оператордың әрекеті ме — жоба әлі ашпады, пайдаланушыларға өтемақы жоспары туралы да айтылған жоқ.
Ostium бұл айда мұндай схеманың жалғыз құрбаны емес. Төрт күн бұрын Hedera желісіндегі Bonzo Finance протоколы Supra компаниясының ұқсас оракул кемшілігінен $9 млн жоғалтты, дегенмен Supra дәл осы кемшілікті басқа 11 желіде бұрын-ақ жапқан болатын. Ал бір күн бұрын Summer Finance DeFi қызметі баға манипуляциясынан $6 млн жоғалтып, жеті жыл жұмыс істегеннен кейін жабылатынын жариялады. Талдаушылардың мәліметінше, 2026 жылдың бірінші жартысында ғана DeFi секторы 87 оқиғада $900 млн-нан астам жоғалтқан, олардың 80%-дан астамы смарт-келісімшарт логикасындағы қателерге емес, кілттердің бұзылуына немесе көпір шабуылдарына байланысты болған.
Мұндағы парадокс мынада: Ostium коды дәл өзі бағдарламаланғандай жұмыс істеді — сенуге тиіс қолтаңбаға сенді. Әлсіз буын келісімшарт емес, дұрыс кілтке ие адам баға туралы шындықты айтады деген болжам болып шықты. Оракулдар санды кім қол қойғанын ғана емес, сол санның жалпы бола алатынын да тексермейінше, мұндай шабуылдар қайталана береді.



