
币圈子(120BTC.COm)讯:去中心化金融(DeFi)领域的安全防线再度面临严峻考验。北京时间2026年7月15日,部署于Arbitrum网络上的真实世界资产(RWA)永续合约平台Ostium爆发严重安全漏洞,导致其流动性金库遭到黑客大肆洗劫。
根据Blockaid等多家区块链安全机构的初步调查,本次攻击的核心并非智能合约本身的代码漏洞,而是致命的「预言机密钥管理」疏失。攻击者疑似取得了预言机签名者(Oraclesigner)的私钥,借此绕过系统验证,并恣意提交遭到操纵的价格数据。
黑客利用已注册的转发器(PriceUpKeep forwarder)提交了未来日期的授权预言机报告,借此伪造对自身有利的资产价格。其作案手法为:先使用少量的USDC开设比特币(BTC)多头部位,接着提交低价报告开仓,再提交高价报告平仓,瞬间触发平台设定的最高900%利润上限。透过委托操作(Delegated actions),黑客将此循环重复了约20次,不断从流动性金库中榨取资金。
据Arbiscan链上数据显示,本次攻击导致Ostium主流动性金库流失了约1,186万至1,800万美元的USDC。这笔庞大的损失约占该平台总金库规模(超过3,400万美元)的35%。目前,黑客已将部分赃款兑换为以太坊(ETH),并分散转移至多个不同的钱包地址,企图规避追踪。
Ostium是一个专注于股票、商品、外汇与指数等非加密资产的去中心化永续合约平台,其非加密资产的未平仓量占比高达95%以上,并采用Stork Network等预言机服务。该平台过去表现亮眼,累计交易量已突破500亿美元,并曾获得General Catalyst、Jump Crypto以及CoinbaseV entures等顶级创投高达2,780万美元的融资。
截至发稿时,Ostium团队仍在对此事件进行全面调查,尚未发布完整的官方事后检讨报告。官方呼吁用户密切关注其X(前Twitter)与Discord等官方频道的最新公告,以获取后续的提款指引与安全更新。这起事件也再次为整个RWA与DeFi赛道敲响了警钟,凸显了预言机密钥管理与即时监控机制的绝对重要性。