أوستيوم تخسر ما يصل إلى 24 مليون دولار خلال 5 دقائق بعد تلاعب بالأوراكل ببيانات أسعار "من المستقبل"
ملخص سوق AI
استنزف حادث التلاعب بالأوراكل المُبلّغ عنه لدى Ostium لمدة 5 دقائق ما يصل إلى نحو 24 مليون دولار من خزنة السيولة العامة الخاصة بها، مسلطاً الضوء على نمط فشل يمكن فيه لمسارات المُوقّعين المخوّلين تمرير بيانات "سامة" (طوابع زمنية مستقبلية) تجتاز فحوصات التوقيع. إن غياب رقم نهائي للخسارة أو تقرير ما بعد الحادث يُبقي حالة عدم اليقين قائمة حول ضوابط الوصول المميّز وفحوصات سلامة الأوراكل. تم تبديل الأموال إلى ETH وتوجيهها إلى Tornado Cash، ما يضيف عبئاً من حيث العناوين الرئيسية والامتثال لقطاع DeFi.
مستوى التأثير
● متوسط
الأصول المتأثرة
ETH/USDT-3.74%
رؤية AI · ETH/USDTرؤية AI
▼ هابط
تداول الآن
⚠️ الرؤى التي يُنشئها AI مبنية على محتوى الأخبار، وتُقدَّم لأغراض معلوماتية فقط. لا تُشكّل نصيحة استثمارية، ولا تعبّر عن آراء BingX. ينطوي الاستثمار على مخاطر. يُرجى التداول بمسؤولية.
أفادت منصة التداول الدائم على السلسلة Ostium بأن حادثة أمنية استمرت خمس دقائق تسببت بخسائر في خزينة السيولة العامة التابعة لها، وسط تقديرات من شركات أمنية بأن حجم الاستغلال قد يصل إلى 24 مليون دولار. وأكدت الشريكة المؤسسة كاليدورا كيرنان-لين أن الواقعة حدثت بين 14:18 و14:23 بالتوقيت العالمي المنسق يوم 15 يوليو، وطالت خزينة Ostium Liquidity Provider (OLP). وأضافت أن الفريق رصد المشكلة خلال دقائق ونسّق لإيقاف التداول خلال ساعة، من دون الإفصاح عن إجمالي الخسائر النهائي أو السبب الجذري أو تقرير ما بعد الحادث.
وبحسب Blockaid وCyvers، لم تكن المشكلة مرتبطة بتواقيع مفقودة، بل ببيانات مُعتمدة: مُرحّل PriceUpKeep مسجّل قدّم تقرير أوراكل مُصرّحاً به يحمل تاريخاً مستقبلياً، ما أتاح توليد أرباح معاملات وهمية. وذكرت SlowMist أن موقّعين مُخوّلين قدّموا بيانات مُشوّهة بتواقيع صحيحة لتسهيل تنفيذ معاملات مربحة بشكل متكرر. وتظل هذه الاستنتاجات مبنية على تتبعات أطراف ثالثة بانتظار تأكيد Ostium عبر تقريرها الرسمي.
تشير التفاصيل الفنية المتاحة إلى أن المصادقة التشفيرية أثبتت أن التقرير موقّع بمفتاح مُصرّح به، لكن معايير معقولية السعر وحداثة الطابع الزمني وأمن التسوية تحتاج إلى ضوابط مستقلة. فشفرة OstiumVerifier، وفق الرابط المشار إليه في وثائق الأمان لدى Ostium، تستعيد موقّع ECDSA وتتحقق من كونه ضمن قائمة المصرّح لهم، لكنها لا تفرض فحوصات على "سلامة السعر" أو حدود الطابع الزمني. كما لا يظهر من الشفرة أي إصدار كان فعّالاً أثناء الحادث أو ما إذا كانت عقود أخرى تتولى هذه الفحوصات. وعليه، فإن أي حماية من إعادة التشغيل أو انحرافات الأسعار أو التحقق متعدد المصادر أو قيود الطوابع الزمنية يفترض أن تكون مُطبقة في أجزاء أخرى من مسار التنفيذ.
توضح وثائق البروتوكول أن خزينة OLP تحتفظ بضمانات المتداولين وتُجري مدفوعات فورية على السلسلة للصفقات الرابحة. وإذا قُبلت أرباح زائفة للتسوية، تتحمل سيولة الخزينة تغطية تلك المدفوعات.
ومع استمرار التتبع، تباينت تقديرات الخسائر: Blockaid رجّحت أن المدفوعات اقتربت من 18 مليون دولار، وقدّرت Cyvers الخسائر بنحو 23.7 مليون دولار، فيما تحدثت PeckShield لاحقاً عن استنزاف يقارب 24 مليون دولار. في المقابل، أشارت SlowMist إلى رقم أقل يبلغ 11.86 مليون دولار، مستندة إلى تدفق خارج من الخزينة قدره 11,862,444.782 USDC يظهر في معاملات استشهدت بها.
وقالت PeckShield إن USDC المسحوبة جرى استبدالها مقابل 12,080 ETH، وإن 10,540 ETH كانت قد أُرسلت إلى Tornado Cash حتى وقت تحديثها. وأكدت كيرنان-لين أن Ostium تتعاون مع جهات إنفاذ القانون ومع SEAL 911 وخبراء أمن من أطراف ثالثة.
ويختلف هذا السيناريو عن واقعة حديثة في بروتوكول الإقراض Bonzo Lend على Hedera قبل أربعة أيام، حيث ذكر تقرير الحادث أن المُحقّق قبل إثباتاً بلا توقيع صالح. أما في حالة Ostium، فتقول شركات الأمن إن التقرير مر عبر مسار الموقّع المُخوّل: المصادقة نجحت، لكن البيانات نفسها كانت غير آمنة.
ولا تزال Ostium مطالبة بتحديد ما إذا كان مفتاح الموقّع قد تعرّض للاختراق، أو إن كان هناك سلوك خبيث من مُشغّلين مُصرّح لهم، أو إن كانت مسارات امتياز أخرى قد أسيء استخدامها. وستُقاس فعالية إجراءات المعالجة المقبلة—مثل عزل الموقّعين، وفرض حدود صارمة للطوابع الزمنية، والتحقق المستقل من الأسعار، وتقييد المعدلات، وآليات الإيقاف الطارئ—بقدرتها على منع "مسار موثوق" من تحويل دقائق من البيانات الفاسدة إلى دفعات جديدة من خزينة السيولة.