Ostium สูญเงินสูงสุดราว 24 ล้านดอลลาร์ใน 5 นาที หลังออราเคิลถูกปั่นด้วยข้อมูลราคา "จากอนาคต"

สรุปภาพรวมตลาดด้วย AI
เหตุการณ์การบิดเบือนออราเคิลภายใน 5 นาทีที่ Ostium รายงาน ทำให้เงินจากคลังสภาพคล่องสาธารณะของตนถูกระบายออกไปได้สูงสุดราว ~$24M โดยชี้ให้เห็นโหมดความล้มเหลวที่เส้นทางผู้ลงนามที่ได้รับอนุญาตสามารถส่งข้อมูล "เป็นพิษ" (ไทม์สแตมป์ในอนาคต) ที่ผ่านการตรวจสอบลายเซ็นได้ การขาดตัวเลขความเสียหายสุดท้ายหรือรายงานหลังเหตุการณ์ยังคงทำให้เกิดความไม่แน่นอนเกี่ยวกับการควบคุมการเข้าถึงแบบมีสิทธิพิเศษและการตรวจสอบความสมเหตุสมผลของออราเคิล เงินถูกสว็อปเป็น ETH และส่งต่อไปยัง Tornado Cash เพิ่มความเสี่ยงด้านพาดหัวข่าวและภาระด้านการปฏิบัติตามข้อกำหนดสำหรับ DeFi
ระดับผลกระทบ
● ปานกลาง
สินทรัพย์ที่ได้รับผลกระทบ
ETH/USDT-3.14%
ข้อมูลเชิงลึกจาก AI · ETH/USDTข้อมูลเชิงลึกจาก AI
▼ ขาลง
เทรดตอนนี้
⚠️ ข้อความเชิงลึกนี้สร้างขึ้นโดย AI โดยอ้างอิงจากเนื้อหาข่าวเพื่อใช้เป็นข้อมูลอ้างอิงเท่านั้น ไม่ถือเป็นคำแนะนำในการลงทุนหรือสะท้อนทัศนะของ BingX การลงทุนมีความเสี่ยง โปรดซื้อขายด้วยความระมัดระวัง
แพลตฟอร์มซื้อขายเพอร์เพทชวลบนเชน Ostium เปิดเผยว่าเกิดเหตุด้านความปลอดภัยกินเวลาเพียง 5 นาที ส่งผลให้คลังสภาพคล่องสาธารณะของโปรโตคอลได้รับความเสียหาย โดยบริษัทความปลอดภัยหลายแห่งประเมินมูลค่าความเสียหายอาจสูงถึง 24 ล้านดอลลาร์ Kaledora KiernanLinn ผู้ร่วมก่อตั้ง ระบุว่าเหตุเกิดระหว่างเวลา 14:18–14:23 UTC ของวันที่ 15 กรกฎาคม และกระทบต่อคลัง Ostium Liquidity Provider (OLP) Treasury เธอกล่าวว่าทีมตรวจพบความผิดปกติภายในไม่กี่นาที และประสานหยุดการเทรดได้ภายใน 1 ชั่วโมง แต่ยังไม่เปิดเผยมูลค่าความเสียหายที่แน่ชัด สาเหตุราก (root cause) หรือรายงานหลังเหตุการณ์ฉบับสมบูรณ์ รายงานจาก Blockaid และ Cyvers ชี้ว่าแกนของเหตุการณ์ไม่ใช่ "ลายเซ็นหาย" แต่เป็นข้อมูลที่ "ได้รับอนุญาต" โดย relayer ที่ลงทะเบียนในระบบ PriceUpKeep ส่งรายงานออราเคิลที่มีวันที่ในอนาคต ทำให้เกิดกำไรปลอมในการชำระบัญชี ขณะที่ SlowMist ระบุว่าผู้ลงนามที่ได้รับอนุญาตส่งข้อมูลที่ถูกบิดเบือนพร้อมลายเซ็นถูกต้อง เพื่อให้ทำธุรกรรมทำกำไรซ้ำๆ ได้ ทั้งหมดเป็นข้อค้นพบจากบุคคลที่สามและยังต้องรอการยืนยันจากรายงานหลังเหตุการณ์ของ Ostium แม้การตรวจสอบเชิงคริปโตยืนยันได้ว่ารายงานถูกเซ็นด้วยคีย์ที่ได้รับอนุญาต แต่การตรวจความสมเหตุสมผลของราคา ความสดใหม่ของเวลา (timestamp) และความปลอดภัยของการชำระบัญชีจำเป็นต้องมีมาตรการควบคุมแยกต่างหาก โดยโค้ด OstiumVerifier ที่อ้างอิงจากเอกสารด้านความปลอดภัยของ Ostium ทำหน้าที่กู้คืนผู้ลงนาม ECDSA และตรวจว่าผู้ลงนามได้รับอนุญาตหรือไม่ แต่ฟังก์ชันดังกล่าวไม่ได้บังคับใช้การตรวจความสมเหตุสมผลของราคา หรือขอบเขตของ timestamp และไม่ปรากฏชัดว่าเวอร์ชันใดถูกใช้งานในช่วงเกิดเหตุ หรือมีสัญญาอื่นที่ทำการตรวจเหล่านี้ในเส้นทางการทำงานหรือไม่ มาตรการป้องกันอย่างการกันรีเพลย์ การจำกัดส่วนเบี่ยงเบนราคา หรือการอ้างอิงหลายแหล่งข้อมูลจึงอาจต้องถูกบังคับใช้ในส่วนอื่นของระบบ เอกสารของโปรโตคอลระบุว่า OLP vault ถือหลักประกันของเทรดเดอร์ และจ่ายผลกำไรให้คำสั่งที่ชนะทันทีบนเชน หากระบบยอมรับกำไรปลอมในการชำระบัญชี สภาพคล่องใน vault จะเป็นแหล่งเงินสำหรับการจ่ายดังกล่าว อีกทั้งแม้ราคาหุ้นอ้างอิงจะไม่เปลี่ยน สินทรัพย์อย่าง "หุ้นโทเค็น" ที่ใช้เป็นหลักประกันก็มีเงื่อนไขหมดอายุ ทำให้ประเด็นการกำกับเวลาและการตั้งถิ่นฐานมีความสำคัญยิ่งขึ้น ตัวเลขความเสียหายที่เผยแพร่สาธารณะปรับขึ้นตามการติดตามธุรกรรม Blockaid ประเมินยอดจ่ายใกล้ 18 ล้านดอลลาร์, Cyvers ประเมิน 23.7 ล้านดอลลาร์ และ PeckShield ระบุภายหลังว่ามีการดูดเงินราว 24 ล้านดอลลาร์ ขณะที่ตัวเลขของ SlowMist ต่ำกว่าอยู่ที่ 11.86 ล้านดอลลาร์ โดยอ้างอิงกระแสเงินออกจากคลัง 11,862,444.782 USDC ที่มองเห็นได้จากธุรกรรมที่ยกมา PeckShield ระบุว่า USDC ที่ถูกถอนถูกสวอปเป็น 12,080 ETH และ ณ เวลาที่อัปเดต มี 10,540 ETH ถูกส่งเข้า Tornado Cash ด้าน KiernanLinn กล่าวว่า Ostium กำลังทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย ทีม SEAL 911 และผู้เชี่ยวชาญด้านความปลอดภัยภายนอก กลไกของเหตุการณ์ครั้งนี้ถูกมองว่าแตกต่างจากกรณีโปรโตคอลกู้ยืมบน Hedera อย่าง Bonzo Lend เมื่อ 4 วันก่อน ซึ่งรายงานระบุว่าตัวตรวจสอบ (validator) ยอมรับหลักฐานที่ไม่มีลายเซ็นถูกต้อง แต่กรณี Ostium บริษัทความปลอดภัยระบุว่าเส้นทางผู้ลงนามที่ได้รับอนุญาตผ่านการยืนยันตัวตนสำเร็จ เพียงแต่ข้อมูลที่ส่งมาถูกกล่าวหาว่าไม่ปลอดภัย Ostium ยังต้องยืนยันว่า คีย์ของผู้ลงนามถูกเจาะหรือไม่ ผู้ปฏิบัติการที่ได้รับอนุญาตมีพฤติกรรมมุ่งร้ายหรือไม่ หรือมีช่องทางสิทธิพิเศษอื่นถูกนำไปใช้ผิดวัตถุประสงค์ มาตรการแก้ไข เช่น การแยกผู้ลงนาม (signer isolation) การกำหนดขอบเขต timestamp อย่างเข้มงวด การตรวจราคาโดยอิสระ การจำกัดอัตรา (rate limiting) และ circuit breakers จะถูกจับตาว่าช่วยป้องกันไม่ให้เส้นทางที่ "เชื่อถือได้" เปลี่ยนข้อมูลเสียเพียงไม่กี่นาทีให้กลายเป็นการจ่ายเงินจาก vault อีกครั้งได้หรือไม่