🚨 速報:Arbitrum上のRWAパーペチュアル取引所であるOstiumが、攻撃者により侵害され、$18M から$23.7Mの間で資金を失いました。


何が起きたのか:Ostiumのオラクルシステムは、価格レポートが認可された署名者から送られたかどうかを確認します。しかし、価格そのものが本物かどうかまではチェックしません。攻撃者は、認可されたオラクル署名者キーに加えて、実際に取引を執行する役割である「PriceUpKeep」という登録キーパー権限も保持していました。これら2つはいずれも自己割り当て可能であってはならず、Ostium自身のガバナンスによってのみ管理される想定です。
攻撃者は、この2つを揃えた上で、単一のバッチ取引の内部で同じループを繰り返し実行しました。偽造された低い建玉オープン価格でポジションを開き、偽造された高いクローズ価格でそれをクローズし、偽の利益をそのままバルブから引き出します。1つのバッチだけでこれを5回回し、合計$11.86 millionでした。その後もさらに複数回行いました。
これは、DeFiが何年もかけて強化してきた種類のフラッシュローンや薄い流動性による価格操作ではありません。奪われた、あるいは悪用された署名キーが原因であり、オンチェーンの流動性の厚さでは何も防げません。
攻撃前、バルブには$32.7 millionがありました。現在は約$9 millionで、72%の下落です。攻撃者はすでに盗んだ$USDC の大半を$ETH に換金し、Tornado Cashを通じて資金洗浄を始めています。Ostiumは攻撃後1時間以内に取引を停止し、トレーダーの資金とオープンポジションは凍結されたままで無事だと述べています。
これはDeFiにおける2週間以内の2回目のオラクル署名者の侵害です。Bonzo Financeは4日前に、ほぼ同じ仕組みにより$9 millionを失いました。監査人はコードを引き続き確認しています。鍵を誰が持っているのかを監査しているのは、ほとんど誰もいません。
RWA-0.16%
ARB-4.35%
ETH2.18%
原文表示
post-image
post-image
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし
  • ピン留め