Ostium sofre perda de até US$ 24 milhões em 5 minutos após manipulação de oráculo com dados de preço "do futuro"

Resumo de mercado por IA
O incidente relatado de manipulação de oráculo de 5 minutos na Ostium drenou até cerca de ~US$ 24 milhões de seu cofre público de liquidez, destacando um modo de falha em que caminhos de signatário autorizado podem entregar dados "tóxicos" (timestamps futuros) que passam pelas verificações de assinatura. A falta de um número final de perda ou de um relatório pós-incidente mantém a incerteza em torno dos controles de acesso privilegiado e das verificações de sanidade do oráculo. Os fundos foram trocados por ETH e roteados para o Tornado Cash, adicionando pressão negativa de manchete e de conformidade para DeFi.
Nível de impacto
● Médio
Ativos afetados
ETH/USDT-3.14%
Insight de IA · ETH/USDTInsight de IA
▼ Baixista
Negociar agora
⚠️ Os insights gerados por IA são baseados em conteúdo de notícias e fornecidos apenas para fins informativos. Eles não constituem aconselhamento de investimento nem representam as opiniões da BingX. Investir envolve riscos. Negocie com responsabilidade.
Resumo: Não houve ausência de assinatura. Um signatário autorizado teria enviado dados de preço "vindos do futuro". Quando a validação criptográfica passa, mas o dado é tóxico, onde está a defesa dos protocolos DeFi? A Ostium, plataforma on-chain de negociação perpétua, informou que um incidente de segurança de cinco minutos gerou perdas no cofre público de liquidez. Empresas de segurança estimam que o impacto pode ter chegado a até US$ 24 milhões. A cofundadora Kaledora Kiernan-Linn afirmou que o problema ocorreu entre 14:18 e 14:23 UTC de 15 de julho, atingindo o tesouro público do Ostium Liquidity Provider (OLP). Segundo ela, a equipe identificou a anomalia em poucos minutos e coordenou uma pausa nas negociações em até uma hora. A Ostium não divulgou o valor final das perdas, a causa raiz nem o relatório pós-incidente. De acordo com Blockaid e Cyvers, o núcleo do episódio envolveu dados "autorizados", e não assinaturas ausentes. As firmas alegam que um relayer PriceUpKeep registrado enviou um relatório de oráculo autorizado com data futura, produzindo lucros artificiais para transações. A SlowMist disse que signatários autorizados teriam fornecido dados manipulados com assinaturas válidas, permitindo a repetição de operações lucrativas. Até aqui, as conclusões se baseiam em análises de terceiros e aguardam confirmação no relatório pós-incidente da Ostium. A autenticação criptográfica indicaria que o relatório foi assinado por uma chave autorizada. A questão, segundo as análises, é que controles como razoabilidade de preço, atualidade do timestamp e segurança de liquidação exigem salvaguardas adicionais. O código do OstiumVerifier, disponível no link de documentação de segurança do protocolo, recupera o signatário ECDSA e verifica se ele está autorizado. Esse processo de verificação, segundo as firmas, não imporia checagens de sanidade de preço nem limites de timestamp. O material analisado não deixa claro qual versão estava ativa no momento do incidente nem se contratos separados aplicavam essas validações. Proteções contra timestamp, replay, desvio de preço ou uso de múltiplas fontes precisariam ocorrer em outra etapa do fluxo. A documentação do protocolo descreve que o cofre OLP mantém a garantia dos traders e realiza pagamentos instantâneos on-chain para operações vencedoras. Se lucros falsos forem aceitos na liquidação, a liquidez do cofre cobre esses pagamentos. Mesmo que o preço de ações não mude, ativos como ações tokenizadas usados como colateral podem expirar. As estimativas públicas variaram conforme o rastreamento avançou: Blockaid sugeriu cerca de US$ 18 milhões, a Cyvers estimou US$ 23,7 milhões e a PeckShield descreveu posteriormente aproximadamente US$ 24 milhões drenados. A SlowMist apresentou um número menor, US$ 11,86 milhões, associado a uma saída do tesouro de 11.862.444,782 USDC visível nas transações citadas. A PeckShield afirmou que o USDC retirado foi trocado por 12.080 ETH e que, no momento da atualização, 10.540 ETH haviam sido enviados ao Tornado Cash. Kiernan-Linn disse que a Ostium está colaborando com autoridades, SEAL 911 e especialistas de segurança de terceiros. O mecanismo diferiria de um caso recente no ecossistema Hedera envolvendo o protocolo de empréstimos Bonzo Lend, quatro dias antes, cujo relatório apontou que um validador aceitou uma prova sem assinatura válida. No caso da Ostium, as firmas sustentam que o caminho de signatário autorizado foi seguido: a autenticação passou, mas os dados teriam sido maliciosos ou inseguros. A Ostium ainda precisa esclarecer se a chave do signatário foi comprometida, se operadores autorizados agiram de forma mal-intencionada ou se outras rotas privilegiadas foram abusadas. Medidas de correção como isolamento de signatários, limites rígidos de timestamp, checagens independentes de preço, rate limiting e circuit breakers devem ser avaliadas pela capacidade de impedir que um caminho "confiável" transforme poucos minutos de dados ruins em novos pagamentos do cofre.