
将来価格がオラクルを騙し、Ostium は 5 分で 2400 万ドルを失う
TechFlow厳選深潮セレクト

将来価格がオラクルを騙し、Ostium は 5 分で 2400 万ドルを失う
Ostium は未だに最終損失計算と事後報告を公表しておらず、署名者の権限乱用に関する大きな疑問を残している。
著者:CryptoSlate
翻訳:TechFlow
TechFlow 編集部注:これは署名の欠落ではなく、許可された署名者が「未来からの」価格データを送信したためです。検証は通過したがデータ自体が有害な場合、DeFi プロトコルのモートはどこにあるのでしょうか?Ostium はまだ最終的な損失計算と事後報告を発表しておらず、署名者の権限乱用に関する大きな疑問を残しています。
オンチェーン永続取引プラットフォーム Ostium によると、5 分間続いたセキュリティ事象により、公共流動性ボルトに損失が発生しました。セキュリティ企業は脆弱性の規模が最大 2400 万ドルに達すると推定しています。
共同創設者の Kaledora Kiernan-Linn 氏は、問題は 7 月 15 日 UTC 時間 14:18 から 14:23 の間に発生し、公共の Ostium 流動性プロバイダー(OLP)ボルトに影響を与えたと確認しました。彼女はチームが数分以内に問題を発見し、1 時間以内に取引停止を調整したと述べました。声明には、正確な損失総額、根本原因、または最終的な事後報告は記載されていません。
セキュリティ企業によると、事象の核心は署名の欠落ではなく、許可されたデータにあるといいます。Blockaid と Cyvers は、登録された PriceUpKeep フォワーダーが未来の日付付きの許可されたオラクル報告を送信し、偽の取引利益を生み出したと述べています。
SlowMist は、許可された署名者が繰り返し利益を得る取引のために、有効な署名付きの操作されたデータを提供したと述べています。これらの記述はまだ第三者による発見であり、Ostium の事後報告による確認を待っています。
暗号認証は、報告が許可されたキーによって署名されたことを確認できます。しかし、価格の妥当性、タイムスタンプの新鮮度、および決済の安全性には、個別の制御措置が必要です。
Ostium のセキュリティドキュメントからリンクされた OstiumVerifier コードは ECDSA 署名者を復元し、署名者が許可されているかを確認しますが、この検証関数は価格妥当性テストやタイムスタンプ境界を強制しません。
コードには、事象期間中にどの実装バージョンがアクティブであったか、またはこれらのチェックを適用する個別の契約があったかどうかが示されていないようです。あらゆるタイムスタンプ、リプレイ、価格偏差、またはマルチソース保護措置は、実行パスの他の場所で実行されている必要があります。
株価が動かなくても、トークン化株式は担保として無効になる可能性がある
Ostium のプロトコルドキュメントによると、OLP ボルトは取引者の担保を保持し、チェーン上で勝利した取引を即座に支払います。偽の利益が決済として受け入れられた場合、ボルトの流動性がこれらの支払いを負担します。

公開された推定値は追跡が続くにつれて上昇しています。Blockaid は支払いが 1800 万ドルに近いと考えており、Cyvers は 2370 万ドルと推定し、PeckShield は後に約 2400 万ドルが引き出されたと説明しました。
SlowMist のより低い 1186 万ドルという数字は、引用された取引で見られる 11,862,444.782 USDC のボルト流出を追跡したものようです。
SummerFi DeFi の新しい脆弱性は、AI 自動化が現在スマートコントラクトリスクを凌駕していることを示している
PeckShield によると、引き出された USDC は 12,080 ETH に交換され、更新時点では 10,540 ETH が Tornado Cash に入っています。Kiernan-Linn 氏は、Ostium が法執行機関、SEAL 911、および第三者のセキュリティ専門家と協力していると述べました。
このメカニズムは、Ostium を 4 日前の Hedera 貸付プロトコル Bonzo Lend の類似問題と区別しています。Bonzo の事象報告によると、その検証器は有効な署名のない証明を受け入れたといいます。一方、Ostium のケースでは、セキュリティ企業は報告が許可された署名者パスを通過したと主張しています。認証は成功しましたが、データは安全でないと言われています。
ゼロ署名オラクルが Hedera DeFi 貸付プロトコル Bonzo Lend から 900 万ドルをロック解除した方法
Ostium はまだ、署名者キーが侵害されたかどうか、許可されたオペレーターが悪意を持って行動したかどうか、または他の特権パスが乱用されたかどうかを確認する必要があります。
その修復措置は、署名者の分離、厳格なタイムスタンプ境界、独立した価格チェック、レート制限、およびサーキットブレーカーが、信頼されたパスが数分間の悪いデータを再びボルト支払いに変えることを防げるかどうかによって評価されるでしょう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














