Децентрализованная биржа бессрочных фьючерсов Ostium, работающая на сети Arbitrum, потеряла около $18 млн в стейблкоине USDC. Атакующий не ломал смарт-контракт напрямую — он развернул против площадки её же систему подачи цен. Подробнее о том, как устроены такие механизмы, — в разделе про безопасность. На момент атаки в протоколе было заблокировано около $63 млн, то есть увели примерно 28% всей ликвидности. Торги остановлены, идёт расследование.
Механика показательна. Цены реальных активов на биржу поставляет так называемый оракул, а за их своевременную запись в блокчейн отвечает контракт PriceUpKeep. Атакующий воспользовался зарегистрированным звеном этой связки и подал подписанные отчёты с датами из будущего — это позволило выдать убыточные сделки за прибыльные и вынудило хранилище выплатить около $18 млн, — как отмечается в разборе инцидента. Атаку обнаружила компания Blockaid, её оценка — $18 млн; у CertiK — до $22 млн, часть ончейн-наблюдателей называет $11,86 млн. Сама Ostium свою цифру не публиковала.
Важна деталь про доверие. Звено, которым воспользовался взломщик, было внутри периметра, объявленного биржей безопасным: в правилах её программы вознаграждений зарегистрированные звенья и их посредники считаются доверенными, а находки с их компрометацией не рассматриваются. Ostium — заметный игрок: фьючерсы на золото, валюты и индексы с плечом до 200x, $27,8 млн инвестиций и более $50 млрд оборота. Это волна: 6 июля похожим образом увели $6,04 млн у Summer.fi, годом ранее — $7,5 млн у KiloEx. Целятся не в код контрактов, а в служебную инфраструктуру вокруг них.
Мой вывод. На мой взгляд, ключевое здесь — не размер убытка, а то, где именно оказалась дыра. Смарт-контракт отработал ровно так, как написан: ему сказали, что сделка прибыльная, — он заплатил. Проблема в том, что «правду о цене» приносит внешний служебный механизм, и именно он оказался слабым звеном, причём заранее вынесенным за скобки проверок. Отдельно отмечу, кто платит: пострадали поставщики ликвидности, которые брали на себя рыночный риск, а получили риск инфраструктурный. И пока команда не опубликовала разбор, точная сумма и способ проникновения остаются оценками сторонних фирм.
Материал носит информационный характер и не является инвестиционной рекомендацией — DYOR. Больше о защите активов и рисках протоколов — в разделе про термины.
0 комментариев к “Биржу Ostium взломали через подмену данных оракула — из хранилища увели 18 миллионов долларов”
Добавить комментарий