Хакер атаковал протокол Ostium, используя его собственную инфраструктуру оракулов для подделки будущих цен, и вывел $18 млн. Этот инцидент стал очередным звеном в цепочке эксплойтов, направленных на децентрализованные системы ценообразования в DeFi.
Как злоумышленник подменил ценовые данные
Злоумышленник воспользовался тем, что Ostium полагается на собственные оракулы — сервисы, которые поставляют данные о ценах из внешнего мира в смарт-контракты. Вместо того чтобы взламывать внешние источники, хакер атаковал внутреннюю инфраструктуру самого протокола. Он подал в систему поддельные данные с будущими датами, создав искусственные условия для получения прибыли. Смарт-контракты Ostium, не распознав подмену, обработали эти ложные котировки как реальные, что позволило хакеру инициировать серию фиктивных сделок.
Ранее аналогичная атака через уязвимость оракула привела к взлому Bonzo Lend на Hedera с потерей $9 млн.
Почему собственная инфраструктура стала уязвимостью
Эксплойт стал возможен из-за того, что Ostium использовал собственную инфраструктуру для получения и агрегации ценовых данных. В отличие от протоколов, которые полагаются на внешние децентрализованные оракулы (например, ChainlinkLINK$8.50+2.60%), собственные системы могут иметь меньше точек проверки. Хакер сфабриковал данные таким образом, чтобы они выглядели как будущие котировки, идущие от официальных поставщиков протокола. В результате система начислила ему $18 млн «прибыли», которая была немедленно выведена. Это классический случай манипуляции с оракулами, когда атакующий атакует не сам протокол, а канал поступления данных.
Что атака на Ostium значит для DeFi-сектора
Волна атак на оракулы продолжает сотрясать сектор DeFi. За последние месяцы несколько крупных протоколов потеряли десятки миллионов долларов из-за уязвимостей в системах ценообразования. Ostium стал очередной жертвой, продемонстрировав, что даже собственные механизмы сбора данных не гарантируют защиту от подлога.
Атака на Ostium подтверждает: доверие к собственным оракулам без внешней верификации создаёт критическую уязвимость для любых DeFi-протоколов.
Инцидент подчёркивает системную проблему: многие DeFi-платформы экономят на децентрализованных оракулах, предпочитая собственные решения для скорости и экономии. Это делает их лёгкой мишенью, так как хакеру достаточно скомпрометировать один внутренний канал данных, а не несколько независимых источников. Пока неизвестно, планирует ли команда Ostium компенсировать потери пользователей или восстанавливать средства через механизмы страхования. Однако сам факт атаки на $18 млн уже стал сигналом для всего рынка: как скоро протоколы пересмотрят подходы к безопасности оракулов, чтобы не повторить судьбу Ostium?