Blockchain güvenlik şirketi Blockaid'in tespit ettiği oracle manipülasyonu açığında, onchain verilere göre bir saldırgan Arbitrum üzerindeki Ostium likidite kasasından yaklaşık $18 milyon USDC çekti. Saldırgan, Ostium'un otomatik altyapısının bir bileşeni olan kayıtlı bir PriceUpKeep forwarder kullanarak ileri tarihli zaman damgalarına sahip oracle fiyat raporları gönderdi. Manipüle edilen raporlar zarardaki pozisyonları kârlı gösterdi ve kasadan $18 milyon USDC ödeme tetiklendi.
Ostium, Arbitrum üzerinde çalışan ve kullanıcıların emtia, döviz ve hisse endeksleri dahil gerçek dünya varlıklarını 200x'e kadar kaldıraçla, USDC uzlaşmalı olarak alıp satmasına imkân veren merkeziyetsiz bir perpetual borsasıdır. Protokol, bu offchain fiyatları izlemek için özel bir price-feed sistemi çalıştırıyor. Üçüncü taraf otomasyon ağı Gelato ise en güncel fiyatların doğru anlarda onchain'e taşınmasından sorumlu. PriceUpKeep adlı akıllı sözleşme bu sürecin merkezinde yer alıyor ve bir işlemin yürütülmesi gerektiğinde fiyat verisini yazan tetikleyici görevi görüyor. Saldırgan, dışarıdan bir fiyat akışını değil, bu hattı ele geçirdi.
Neden önemli
Bu açık, DeFi genelinde oracle ve keeper sistemi saldırılarının devam ettiği bir döneme eklendi. Geçen hafta Summer.fi'den benzer bir yöntemle $6 milyon çekilmişti. O saldırıda da ayrıcalıklı rollere erişim sağlanmış, ardından likidite havuzlarından fon çıkarmak için fiyat verisinin zamanlaması veya içeriği manipüle edilmişti. Buradaki asıl hikâye tekrar eden kalıp: keeper ağları ve otomatik fiyat altyapısı zayıf bir nokta olmaya devam ediyor. Gerçek dünya varlık fiyatlarını onchain'e taşımak için bu sistemlere dayanan protokoller de bu riski devralıyor.
Piyasa etkisi
Ostium, 2025'in sonlarında General Catalyst ve Jump Crypto'nun birlikte liderlik ettiği $24 milyonluk Series A dahil toplam $27,8 milyon fon toplamıştı ve kümülatif işlem hacmi $50 milyarı aşmıştı. $18 milyonluk kayıp, hâlâ erken aşamadaki RWA perps dikeyinde yer alan bir protokol için bu sermayenin kayda değer bir kısmı. Olay ayrıca merkezi platformların haziranda $311 milyarlık rekor RWA perpetual hacmi bildirdiği bir döneme denk geldi. Bu karşıtlık, onchain RWA perps piyasasının merkezi alternatife kıyasla hâlâ daha yüksek güven gerektiren bir yüzey olduğunu gösteriyor.
Sıkça sorulan sorular
-
Saldırgan Ostium'dan $18M nasıl çekti?
Saldırgan, Arbitrum üzerindeki Ostium'un Gelato tarafından yürütülen fiyat otomasyonunun parçası olan kayıtlı bir PriceUpKeep forwarder kullanarak ileri tarihli zaman damgalarına sahip oracle fiyat raporları gönderdi. Manipüle edilen okumalar zarardaki işlemleri kârlı gösterdi ve protokol kasasından $18 milyon USDC…
-
Ostium nedir ve hangi varlıklarda işlem sunar?
Ostium, Arbitrum üzerinde çalışan ve kullanıcıların emtia, döviz ve hisse endeksleri dahil gerçek dünya varlıklarını 200x'e kadar kaldıraçla, USDC uzlaşmalı olarak alıp satmasına imkân veren merkeziyetsiz bir perpetual borsasıdır.
-
Ostium açığını kim duyurdu?
Açığı blockchain güvenlik şirketi Blockaid tespit edip uyarıyı yayımladı. Onchain çıkış ise onchain verilerle doğrulandı.
-
Bu olay Summer.fi açığıyla nasıl karşılaştırılıyor?
Geçen haftaki Summer.fi saldırısında benzer şekilde ayrıcalıklı rollere erişim sağlanmış, ardından likidite havuzlarından fon çekmek için fiyat verisinin zamanlaması veya içeriği manipüle edilerek $6 milyon boşaltılmıştı.
-
Ostium açık öncesinde ne kadar fon toplamıştı?
Ostium, 2025'in sonlarında General Catalyst ve Jump Crypto'nun birlikte liderlik ettiği $24 milyonluk Series A dahil toplam $27,8 milyon fon toplamıştı ve $50 milyardan fazla kümülatif işlem hacmi işlemişti.
CoinDesk