Ostium Hentikan Perdagangan Usai Eksploitasi Oracle Diduga Kuras Hingga US$18 Juta

Ringkasan Pasar AI
Ostium menghentikan perdagangan di Arbitrum setelah manipulasi oracle/keeper dilaporkan menguras sekitar ~$12M–$18M USDC dari vault likuiditasnya, sebuah pukulan material dibandingkan dengan ~$63M TVL. Insiden ini menegaskan kembali risiko infrastruktur DeFi yang persisten terkait mekanisme penyampaian harga tepercaya, terutama untuk perpetual aset dunia nyata, dan dapat membebani selera risiko terhadap venue derivatif berbasis Arbitrum dan protokol serupa yang bergantung pada oracle sampai perhitungan kerugian dan remediasi diperjelas.
Level dampak
● Sedang
Aset terdampak
BTC/USDT+0.88%
Wawasan AI · BTC/USDTWawasan AI
▼ Bearish
Trade sekarang
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Ostium, bursa perpetual berbasis Arbitrum untuk perdagangan aset dunia nyata yang telah menghimpun pendanaan sekitar US$27,8 juta dari investor termasuk General Catalyst dan Jump Crypto, menghentikan seluruh aktivitas perdagangan pada Rabu setelah sistem oracle-nya dimanipulasi. Insiden tersebut diduga menguras hingga US$18 juta dalam USDC dari vault likuiditas. Blockaid, perusahaan keamanan on-chain, menyebut pelaku "memanfaatkan forwarder PriceUpKeep yang terdaftar serta laporan oracle berotorisasi bertanggal di masa depan untuk menciptakan keuntungan perdagangan buatan, sehingga memicu pembayaran sekitar ~US$18 juta USDC dari vault." Blockaid juga mengungkap transaksi eksploitasi dan alamat pelaku, keduanya berada di jaringan Arbitrum. Transaksi yang dimaksud, 0x359f8c05...d4870e0, telah terkonfirmasi on-chain. Perbedaan Estimasi Kerugian Blockaid menaksir nilai payout sekitar US$18 juta. Sejumlah pengamat on-chain independen menilai angka itu lebih rendah, dengan sebagian memperkirakan dana yang terkuras mendekati US$11,86 juta. Ostium belum merilis perhitungan resmi terkait total kerugian. Menurut data DefiLlama, total value locked (TVL) Ostium berada di kisaran US$63,3 juta sesaat sebelum serangan. Angka tersebut membuat estimasi terendah sekalipun tetap menjadi porsi material dari saldo vault. Eksploitasi ini menambah deretan serangan yang memanfaatkan sistem "keeper" otomatis dan oracle yang dipakai protokol DeFi untuk membawa harga aset dunia nyata ke on-chain. Summer.fi dilaporkan kehilangan sekitar US$6,04 juta akibat manipulasi harga saham pada 6 Juli, berdasarkan laporan postmortem mereka. Pada April 2025, pelaku lain menguras sekitar US$7,5 juta dari KiloEx di tiga chain dengan menyamar sebagai keeper tepercaya untuk memasok harga palsu—pola yang mirip dengan temuan Blockaid pada kasus Ostium. Pola berulang ini menyoroti titik lemah protokol yang menyelesaikan transaksi berdasarkan data off-chain: jalur distribusi harga kerap dipercaya secara default, sehingga ketika kontrolnya jatuh ke tangan penyerang, protokol bisa melakukan pembayaran atas transaksi yang sejatinya tidak menghasilkan keuntungan. Perdagangan Dihentikan Ostium mengonfirmasi adanya insiden dan menghentikan pasar. "Kami mengetahui masalah pada vault OLP. Kami telah menghentikan seluruh perdagangan. Tim sedang melakukan investigasi," tulis Ostium di X. Ostium memungkinkan pengguna memperdagangkan kontrak perpetual atas aset seperti emas, minyak, indeks saham, dan valas langsung dari dompet kripto, dengan penyelesaian dalam USDC di Arbitrum, jaringan Layer 2. Ostium menyebut vault OLP mereka telah memfasilitasi volume perdagangan kumulatif lebih dari US$33 miliar di lebih dari 50 pasar. Komponen yang menurut Blockaid dimanfaatkan penyerang berada dalam area yang sebelumnya dinyatakan Ostium kepada peneliti keamanan sebagai bagian yang dianggap aman. Dalam cakupan bug bounty Ostium disebutkan seluruh keeper yang terdaftar, termasuk PriceUpKeep, "beserta forwarder-nya diasumsikan tepercaya dan beroperasi dengan benar," dan temuan yang membutuhkan keeper yang dikompromikan atau bersifat jahat berada di luar program. Mekanisme serangan dan estimasi kerugian tertinggi merupakan temuan Blockaid dan belum direkonsiliasi secara independen. Postingan Blockaid menyebut "registered forwarder" dan "futuredated authorized oracle reports", tanpa menyatakan adanya private key yang dikompromikan, meski sebagian narasi lain menggambarkannya demikian. Ostium belum menjelaskan bagaimana pelaku memperoleh kemampuan untuk mengirim laporan tersebut dan belum memublikasikan angka kerugian final.