Ostium stracił nawet 24 mln dolarów przez ceny, których jeszcze nie było

iEXExchanger
Ostium stracił nawet 24 mln dolarów przez ceny, których jeszcze nie było

Atakujący przejął kontrolę nad wyrocznią cenową Ostium i handlował po kursach z przyszłości — w pięć minut z tej giełdy DeFi na Arbitrum wyparowało od 18 do 24 mln dolarów.

Pięć minut — tyle zajęło nieznanemu sprawcy wyprowadzenie z zdecentralizowanej giełdy Ostium od 18 do 24 milionów dolarów. Atak nie polegał na włamaniu do portfela ani na typowym błędzie w kodzie — sprawca wykorzystał cenę, która jeszcze fizycznie nie istniała.

Ostium działa na Arbitrum i pozwala otwierać kontrakty wieczyste z dźwignią do 200x na surowce, pary walutowe i indeksy giełdowe, rozliczane w USDC. Do połowy 2026 roku przez giełdę przeszło ponad 50 mld dolarów obrotu, a w grudniu 2025 projekt pozyskał 24 mln dolarów w rundzie serii A prowadzonej przez General Catalyst i Jump Crypto.

15 lipca, między 14:18 a 14:23 UTC, ktoś przejął kontrolę nad autoryzowanym sygnatariuszem wyroczni — elementem odpowiedzialnym za dostarczanie protokołowi bieżących cen. Za pośrednictwem automatyzacji PriceUpKeep, opartej na sieci Gelato, do łańcucha trafiły raporty cenowe ze znacznikiem czasu z przyszłości. Weryfikator sprawdzał wyłącznie, czy raport ma ważny podpis zaufanego sygnatariusza — nigdy, czy taka cena mogła w ogóle istnieć w danym momencie. Transakcje otwierały się i zamykały natychmiast z gwarantowanym zyskiem, a wspólny skarbiec płynności wypłacał prawdziwe USDC za zyski, których nigdy nie było.

Szacunki strat różnią się w zależności od firmy: SlowMist podaje 11,86 mln, Blockaid około 18 mln, Cyvers 23,7 mln, a PeckShield po prześledzeniu środków — blisko 24 mln. Współzałożycielka Ostium, Kaledora Kiernan-Linn, potwierdziła incydent i powiedziała, że zespół wykrył go „w ciągu kilku minut”, wstrzymał handel i zaangażował organy ścigania. Nie ujawniła, czy przyczyną była wykradziona klucz sygnatariusza, czy działanie nieuczciwego operatora wewnątrz systemu, a Ostium nie ogłosiło jeszcze żadnego planu rekompensat dla użytkowników.

Ostium nie jest odosobnionym przypadkiem w tym miesiącu. Cztery dni wcześniej protokół Bonzo Finance na Hedera stracił 9 mln dolarów przez podobną lukę w wyroczni od Supra, mimo że Supra załatała już tę samą wadę na 11 innych sieciach. Dzień wcześniej usługa DeFi Summer Finance straciła 6 mln dolarów przez manipulację cenami i ogłosiła zamknięcie po siedmiu latach działalności. Według analityków bezpieczeństwa sektor DeFi stracił ponad 900 mln dolarów w 87 incydentach tylko w pierwszej połowie 2026 roku, a ponad 80% z nich wiązało się z przejętymi kluczami lub atakami na mosty, a nie z błędami w logice smart kontraktów.

Paradoks polega na tym, że kod Ostium zrobił dokładnie to, do czego został zaprogramowany — zaufał podpisowi, któremu miał ufać. Słabym ogniwem nie był kontrakt, lecz samo założenie, że posiadacz właściwego klucza mówi prawdę o cenie. Dopóki wyrocznie nie zaczną sprawdzać nie tylko tego, kto podpisał liczbę, ale i czy ta liczba mogła już istnieć, takie ataki będą się powtarzać.

Pytania i odpowiedzi

Często zadawane pytania na temat artykułu

Co się stało z Ostium?

15 lipca 2026 roku atakujący przejął kontrolę nad sygnatariuszem wyroczni cenowej Ostium, zdecentralizowanej giełdy instrumentów pochodnych na Arbitrum, i w ciągu około pięciu minut wyprowadził od 18 do 24 milionów dolarów ze wspólnego skarbca płynności. Platforma natychmiast wstrzymała handel.

Jak działał atak z cenami "z przyszłości"?

Za pośrednictwem automatyzacji PriceUpKeep atakujący przesłał raporty cenowe ze znacznikiem czasu z przyszłości. Protokół sprawdzał wyłącznie, czy raport ma ważny podpis zaufanego sygnatariusza, nigdy zaś czy taka cena mogła w danym momencie w ogóle istnieć — to pozwoliło otwierać i zamykać pozycje z gwarantowanym zyskiem.

Ile pieniędzy faktycznie stracono?

Szacunki różnią się w zależności od firmy: SlowMist podaje 11,86 mln, Blockaid około 18 mln, Cyvers 23,7 mln, a PeckShield po prześledzeniu środków — blisko 24 mln. Ostium nie potwierdziło oficjalnej kwoty.

Czy to część szerszego trendu ataków na DeFi?

Tak. Kilka dni wcześniej Bonzo Finance stracił 9 mln dolarów przez podobną lukę w wyroczni, a Summer Finance stracił 6 mln i ogłosił zamknięcie. Tylko w pierwszej połowie 2026 roku sektor DeFi stracił ponad 900 mln dolarów w 87 incydentach.