Ostium втратив до $24 млн через ціни, яких ще не існувало

iEXExchanger
Ostium втратив до $24 млн через ціни, яких ще не існувало

Зловмисник заволодів ключем цінового оракула Ostium і торгував за котируваннями «з майбутнього» — за п'ять хвилин DeFi-біржа на Arbitrum втратила від $18 до $24 млн.

П'ять хвилин — саме стільки знадобилося невідомому, щоб вивести з децентралізованої біржі Ostium від 18 до 24 мільйонів доларів. Атака спрацювала не через злом гаманця чи типову вразливість коду, а через ціну, якої фізично ще не існувало.

Ostium — DeFi-платформа на Arbitrum, де трейдери відкривають безстрокові контракти з плечем до 200x на сировину, валютні пари й фондові індекси, а розрахунки йдуть у USDC. До літа 2026 року через біржу пройшло понад $50 млрд обороту, а в грудні 2025-го проєкт залучив $24 млн від General Catalyst і Jump Crypto.

15 липня, між 14:18 і 14:23 за UTC, хтось отримав контроль над авторизованим підписантом оракула — сервісом, який постачає біржі актуальні ціни активів. Через автоматизацію PriceUpKeep на базі мережі Gelato в систему потрапили цінові звіти з міткою часу з майбутнього. Перевірка підпису їх пропустила: протокол звіряв, що дані підписані потрібним ключем, але не перевіряв, чи могла ця ціна взагалі існувати в момент запиту. Угоди відкривались і миттєво закривались із гарантованим прибутком, а спільний пул ліквідності платив справжніми грошима за виграші, яких насправді не було.

Оцінки збитків різняться: SlowMist називає $11,86 млн, Blockaid — близько $18 млн, Cyvers — $23,7 млн, а PeckShield після відстеження руху коштів — майже $24 млн. Співзасновниця Ostium Каледора Кірнан-Лінн підтвердила інцидент і заявила, що команда помітила проблему «протягом кількох хвилин», торгівлю зупинили, а до розслідування залучили правоохоронців. Що стало причиною — вкрадений ключ підписанта чи дії недобросовісного оператора всередині системи — проєкт поки не розкрив, як і плани компенсації користувачам.

Ostium — не перша жертва такої схеми цього місяця. Чотирма днями раніше протокол Bonzo Finance на Hedera втратив $9 млн через подібну вразливість оракула від Supra, хоча вразливі версії на 11 інших мережах на той момент уже залатали. А напередодні DeFi-сервіс Summer Finance втратив $6 млн через маніпуляцію цінами й оголосив, що згортається після семи років роботи. За даними аналітиків, за першу половину 2026 року DeFi-сектор втратив понад $900 млн у 87 інцидентах, і понад 80% з них пов'язані саме з компрометацією ключів чи атаками на мости, а не з багами в коді смарт-контрактів.

Виходить парадокс: смарт-контракти Ostium відпрацювали рівно так, як їх запрограмували, — повірили підпису, якому мали довіряти. Слабким місцем виявився не код, а сама архітектура довіри до зовнішніх джерел даних. Поки протоколи не навчаться перевіряти не лише «хто підписав», а й «чи могло це взагалі бути правдою», подібні історії з оракулами повторюватимуться.

Запитання та відповіді

Часті питання на тему статті

Що сталося з Ostium?

15 липня 2026 року зловмисник отримав контроль над підписантом цінового оракула Ostium — децентралізованої біржі деривативів на Arbitrum — і за приблизно п'ять хвилин вивів від 18 до 24 мільйонів доларів зі спільного сховища ліквідності. Торгівлю на платформі одразу зупинили.

Як спрацювала атака з цінами «з майбутнього»?

Через автоматизацію PriceUpKeep зловмисник надіслав цінові звіти з міткою часу з майбутнього. Протокол перевіряв лише наявність дійсного підпису довіреного підписанта, але не перевіряв, чи могла така ціна взагалі існувати в цей момент — це дозволило відкривати й закривати угоди з гарантованим прибутком.

Скільки грошей насправді втрачено?

Оцінки різняться залежно від компанії: SlowMist називає $11,86 млн, Blockaid — близько $18 млн, Cyvers — $23,7 млн, а PeckShield після відстеження коштів — майже $24 млн. Офіційної суми Ostium поки не підтвердив.

Це частина ширшої тенденції злому DeFi-протоколів?

Так. Кількома днями раніше Bonzo Finance втратив $9 млн через подібну вразливість оракула, а Summer Finance втратив $6 млн і оголосив про закриття. Лише за першу половину 2026 року DeFi-сектор втратив понад $900 млн у 87 інцидентах.