ประเด็นสำคัญ:
- Ostium Vault สูญเสียเงินประมาณ 18 ล้าน USDC จากการหาประโยชน์จาก Arbitrum
- ผู้โจมตีใช้รายงานของ oracle ที่ได้รับอนุญาตในทางที่ผิดและผู้ส่งต่อ PriceUpKeep ที่ลงทะเบียน
- Blockaid ระบุช่องโหว่และแบ่งปันธุรกรรมและรายละเอียดกระเป๋าเงินของผู้โจมตี
การหาประโยชน์ที่มุ่งเป้าไปที่ Ostium Vault ส่งผลให้เกิดการประมาณค่า 18 ล้านดอลลาร์สหรัฐ ขาดทุนจากอนุญาโตตุลาการ บริษัทรักษาความปลอดภัยบล็อคเชน Blockaid พูดว่า ผู้โจมตีได้จัดการโฟลว์ของโปรโตคอลเพื่อสร้างผลกำไรจากการซื้อขายปลอมก่อนที่จะถอนเงินออกจากห้องนิรภัย
Blockaid ตรวจพบการใช้ประโยชน์จาก @Ostium Vault บน Arbitrum
ผู้โจมตีใช้ผู้ส่งต่อ PriceUpKeep ที่ลงทะเบียนและรายงาน oracle ที่ได้รับอนุญาตในอนาคตเพื่อสร้างผลกำไรทางการค้าปลอม ทำให้เกิดการจ่ายเงิน ~ $18M USDC จากห้องนิรภัย
รายละเอียดเพิ่มเติมใน– Blockaid (@blockaid_) วันที่ 15 กรกฎาคม 2026
วิธีการทำงานของ Ostium Vault Exploit
จากข้อมูลของ Blockaid ผู้โจมตีไม่ได้พึ่งพาช่องโหว่ของสัญญาอัจฉริยะแบบเดิมๆ การใช้ประโยชน์ดังกล่าวได้รวมเอาองค์ประกอบโปรโตคอลที่ถูกต้องสองประการเข้าด้วยกันในลักษณะที่ไม่ได้ตั้งใจ
ผู้โจมตีใช้ ผู้ส่งต่อ PriceUpKeep ที่ลงทะเบียนแล้ว ร่วมกับ รายงาน Oracle ที่ได้รับอนุญาตในอนาคต เพื่อสร้างเงื่อนไขการซื้อขายที่มีกำไร รายงานเหล่านี้ได้รับการจัดการทำให้โปรโตคอลสามารถพิจารณาผลกำไรที่ไม่มีอยู่จริง ซึ่งส่งผลให้มีการจ่ายเงิน 18 ล้านดอลลาร์บวกกับการจ่ายเงิน USDC ในห้องนิรภัย
เนื่องจากรายงานเหล่านี้ได้รับการอนุมัติแล้ว การใช้ประโยชน์ดังกล่าวจึงข้ามความคาดหวังปกติเกี่ยวกับความสมบูรณ์ของข้อมูล เหตุการณ์ดังกล่าวแสดงให้เห็นถึงอันตรายจากพื้นผิวการโจมตีที่เป็นโครงสร้างพื้นฐานของ Oracle ที่เชื่อถือได้ ซึ่งไม่มีการป้อนข้อมูลที่ผิดปกติในตรรกะการตรวจสอบ
อ่านเพิ่มเติม: การใช้ประโยชน์จาก SecondFi เปิดเผยคีย์ส่วนตัวเนื่องจากข้อบกพร่องของ ADA Wallet ทำให้คนนับล้านตกอยู่ในความเสี่ยง
Ostium ให้ความสำคัญกับสินทรัพย์ในโลกแห่งความเป็นจริงแบบโทเค็น


Ostium เป็นโปรโตคอลการซื้อขายถาวรแบบกระจายอำนาจซึ่งช่วยให้บุคคลเข้าสู่ตลาดสินทรัพย์ในโลกแห่งความเป็นจริง (RWA) โดยไม่ต้องเข้าถึงศูนย์กลางแบบรวมศูนย์ของหน่วยงานกลาง
โครงการนี้ได้รับการสนับสนุนที่สำคัญจากนักลงทุนสกุลเงินดิจิทัลและผู้ร่วมลงทุน เช่น General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute และ GSR โดยระดมทุนได้ประมาณ 27.8 ล้านดอลลาร์เพื่อลงทุนในการพัฒนา
แพลตฟอร์มที่ประมวลผล RWA กำลังดึงดูดผู้โจมตีที่เป็นอันตรายมากขึ้น เนื่องจากสถาบันต่างๆ เริ่มมองเห็นคุณค่าในการสร้างโทเค็นสินทรัพย์ของตน และพึ่งพากลไกการกำหนดราคาที่ซับซ้อนสำหรับพวกเขา
อ่านเพิ่มเติม: 5.87 ล้านเหรียญสหรัฐ Ethereum ใช้ประโยชน์จากปริมาณที่เชื่อถือได้ เนื่องจาก 1inch ปฏิเสธการละเมิดโปรโตคอลใด ๆ
Oracle Security ยังคงเป็นความท้าทายที่สำคัญ
เหตุการณ์ Ostium เป็นการเตือนใจว่าแม้ว่ารหัสสัญญาอัจฉริยะจะมีความสำคัญ แต่ก็ไม่ใช่ทั้งหมดที่จำเป็นสำหรับโครงการการเงินแบบกระจายอำนาจที่ประสบความสำเร็จ ในปัจจุบัน การรักษาความปลอดภัยของโปรโตคอลไม่ได้ขึ้นอยู่กับระบบของ Oracle แอปพลิเคชันอัตโนมัติ และการตรวจสอบข้อมูลแบบออฟไลน์อีกต่อไป
แอป DeFi ที่ได้รับความนิยมส่วนใหญ่ใช้ฟีดราคาภายนอกและบริการดำเนินการอัตโนมัติเพื่อดำเนินการซื้อขายและกำหนดยอดคงเหลือสำหรับผู้ใช้ หากระบบดังกล่าวสามารถถูกโจมตีผ่านอินพุตที่ถูกต้อง แต่มีการจัดการที่ไม่ดี ผู้โจมตีสามารถขโมยเงินได้โดยไม่ต้องใช้จุดอ่อนในการเขียนโค้ดทั่วไป
เนื่องจากโปรโตคอล DeFi เติบโตไปสู่ผลิตภัณฑ์ระดับสถาบันและโทเค็นที่เป็นตัวแทนของสถานการณ์ในโลกแห่งความเป็นจริง จึงจำเป็นอย่างยิ่งที่จะต้องแน่ใจว่าออราเคิลและวิธีการดำเนินการได้รับการตรวจสอบความถูกต้องอย่างเหมาะสมเพื่อปกป้องเงินทุนของนักลงทุน ช่องโหว่ดังกล่าว



