【Tin nhanh】 Nền tảng hợp đồng vĩnh cửu RWA của Ostium trên Arbitrum bị tấn công, thiệt hại 18 triệu USD! Lộ khóa bí mật của oracle dẫn đến thảm họa

Arbitrum 生態系 truyền ra một vụ việc an ninh lớn! Nền tảng hợp đồng vĩnh viễn phi tập trung bền vững tập trung vào tài sản thế giới thực (RWA) Ostium bất ngờ bị tấn công, do khóa bí mật của oracle (Oracle) bị rò rỉ; kẻ tấn công đã độc ác thao túng giá, gây thiệt hại lên tới 18 triệu USD USDC, tương đương khoảng 35% tổng vốn trong kho quỹ của dự án. Hiện phía chính thức đang khẩn cấp triển khai điều tra.
(Tóm tắt trước: Đối tác Dragonfly: DeFi “ngày tận thế của hacker” không thành hiện thực, số tiền bị đánh cắp trong năm 2026 được niêm yết theo năm chỉ là 1,89 tỷ USD)
(Bổ sung bối cảnh: Người sáng lập Robinhood phát trực tiếp làm lộ seed phrase! Hacker thao túng Meme coin, khối lượng giao dịch tăng vọt lên 20 triệu USD)

Mục lục bài viết

Toggle

  • Rò rỉ khóa bí mật oracle, hacker “quét” 900% lợi nhuận bùng nổ
  • Thiệt hại hơn 18 triệu USD, tiền đã được phân tán chuyển đi
  • Từng được quỹ đầu tư hàng đầu rót 27,8 triệu USD vốn, phía chính thức gấp rút điều tra

Hàng rào an ninh của lĩnh vực tài chính phi tập trung (DeFi) lại một lần nữa đối mặt với thử thách nghiêm trọng. Vào ngày 15/7/2026 theo giờ Đài Bắc, nền tảng hợp đồng vĩnh viễn RWA Ostium triển khai trên mạng Arbitrum xảy ra lỗ hổng an ninh nghiêm trọng, khiến kho thanh khoản của nền tảng bị kẻ tấn công cướp phá quy mô lớn.

Rò rỉ khóa bí mật oracle, hacker “quét” 900% lợi nhuận bùng nổ

Theo kết quả điều tra sơ bộ ban đầu của nhiều tổ chức bảo mật blockchain như Blockaid, trọng tâm của cuộc tấn công lần này không phải là lỗ hổng trong chính mã hợp đồng thông minh, mà là một sai sót chí mạng trong quản lý “khóa bí mật oracle”. Kẻ tấn công nghi ngờ đã lấy được khóa bí mật của người ký oracle (Oracle signer), từ đó vượt qua cơ chế xác thực của hệ thống và tùy tiện gửi các dữ liệu giá bị thao túng.

🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.

An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in 🧵

— Blockaid (@blockaid_) July 15, 2026

Kẻ tấn công đã dùng một forwarder đã được đăng ký (PriceUpKeep forwarder) để gửi các báo cáo oracle được ủy quyền với ngày trong tương lai, qua đó giả mạo giá tài sản có lợi cho chúng. Cách thức gây án là: trước tiên dùng một lượng nhỏ USDC để mở vị thế long Bitcoin (BTC), sau đó gửi báo cáo với giá thấp để mở lệnh, rồi gửi báo cáo với giá cao để đóng lệnh, ngay lập tức kích hoạt mức trần lợi nhuận tối đa 900% mà nền tảng thiết lập. Thông qua các hành động ủy quyền (Delegated actions), hacker đã lặp lại chuỗi này khoảng 20 lần, liên tục rút tiền từ kho thanh khoản.

Thiệt hại hơn 18 triệu USD, tiền đã được phân tán chuyển đi

Theo dữ liệu trên Arbiscan, cuộc tấn công lần này khiến Ostium mất khoảng 11,86 triệu đến 18 triệu USD USDC từ kho thanh khoản chính. Khoản thiệt hại khổng lồ này chiếm khoảng 35% quy mô tổng kho quỹ của nền tảng (hơn 34 triệu USD). Hiện kẻ tấn công đã đổi một phần tiền thu được thành Ethereum (ETH) và phân tán chuyển sang nhiều địa chỉ ví khác nhau, nhằm né tránh truy vết.

Từng được rót 27,8 triệu USD vốn từ tổ chức hàng đầu, phía chính thức khẩn cấp điều tra

Ostium là một nền tảng hợp đồng vĩnh viễn phi tập trung tập trung vào các tài sản phi crypto như cổ phiếu, hàng hóa, ngoại hối và chỉ số. Tỷ trọng khối lượng open interest các tài sản phi crypto của nền tảng này lên tới hơn 95%, và sử dụng các dịch vụ oracle như Stork Network. Nền tảng từng hoạt động rất ấn tượng, tổng khối lượng giao dịch lũy kế đã vượt 50 tỷ USD, và từng nhận khoản tài trợ lên tới 27,8 triệu USD từ các quỹ đầu tư mạo hiểm hàng đầu như General Catalyst, Jump Crypto và Coinbase Ventures.

Tính đến thời điểm đăng tải, đội ngũ Ostium vẫn đang tiến hành điều tra toàn diện về sự việc này, chưa công bố báo cáo kiểm điểm hậu sự hoàn chỉnh của chính thức. Phía chính thức kêu gọi người dùng theo dõi sát các kênh chính thức như X (trước Twitter) và Discord để nhận hướng dẫn rút tiền tiếp theo cùng các cập nhật an ninh. Sự việc này một lần nữa gióng lên hồi chuông cảnh báo cho toàn bộ mảng RWA và DeFi, nhấn mạnh tầm quan trọng tuyệt đối của cơ chế quản lý khóa bí mật oracle và giám sát thời gian thực.

ARB-2,91%
RWA-0,50%
MEME-1,83%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim