Мова
Швидкий доступ
Обране
Інформація
Мобільні застосунки
Завантажити в App StoreЗавантажити з Google Play
Ми в соціальніх мережах
Ostium зупинив торги через атаку на оракул: збитки до $22 мільйонів
Безпека

Ostium зупинив торги через атаку на оракул: збитки до $22 мільйонів

16 липня 2026 р.4 хв читання

Децентралізована платформа деривативів Ostium у середу зупинила всі торги після того, як компанії з кібербезпеки повідомили про ймовірний злом її системи оракулів. За попередніми оцінками, зловмисники вивели від $18 до $22 мільйонів з ліквідного пулу протоколу.

Що сталося

Ostium працює на мережі Arbitrum і пропонує торгівлю безстроковими контрактами з кредитним плечем на 75 активів: акції, ETF, сировину, індекси, валютні пари та криптовалюти. Платформа позиціонує себе як міст між традиційними ринками та onchain-торгівлею, оскільки дозволяє відкривати позиції на активи поза криптосвітом без посередників і брокерів.

15 липня команда протоколу оголосила в X про зупинку торгів після виявлення проблеми, яка зачепила ліквідний пул під назвою OLP. Цей пул виступає контрагентом для всіх леверіджованих позицій на платформі: саме туди трейдери вносять заставу, і саме звідти, за версією дослідників, зникли кошти.

Через паузу трейдери, які мали відкриті позиції на момент зупинки, тимчасово не можуть ні закрити їх, ні змінити розмір застави. Усі торгові функції платформи заблоковані до завершення перевірки.

"Оскільки безпека користувачів для нас на першому місці, ми рекомендуємо всім тимчасово відкликати дозволи для наших контрактів, поки ми не завершимо розслідування цього інциденту."

- з офіційного допису Ostium в X, 15 липня 2026

Причину інциденту та остаточну суму збитків протокол офіційно поки не підтвердив. Команда лише повідомила, що технічна група вже працює над з'ясуванням деталей і найближчим часом опублікує повний звіт.

Хто виявив проблему

Про інцидент першими повідомили компанії Blockaid та CertiK, які цілодобово відстежують безпеку блокчейн-протоколів і публікують попередження про підозрілу активність гаманців раніше за самі команди проектів. Обидві фірми пов'язали атаку зі зламом системи оракулів Ostium, що постачає протоколу зовнішні цінові дані для розрахунку позицій трейдерів.

Blockaid оцінила втрати Ostium приблизно у $18 мільйонів, CertiK назвала суму близько $22 мільйонів.

Розбіжність у цифрах пояснюється різними методиками підрахунку. Компанії відстежують відтік коштів із різних гаманців і контрактів протоколу окремо, тож остаточна сума стане відомою лише після офіційного звіту Ostium. Наразі команда протоколу не спростувала і не підтвердила жодну з цих оцінок, обмежившись коротким повідомленням про розслідування.

Такі незалежні монітори давно стали частиною інфраструктури безпеки DeFi. Часто саме вони першими бачать аномальний відтік коштів із протоколу, ще до того, як про це напишуть самі розробники чи великі медіа.

Деталі атаки на протокол

За даними Decrypt, зловмисники скомпрометували підписуючий ключ одного з оракулів Ostium, що дозволило їм підмінити ціну активу, яку бачить смарт-контракт. Так можна відкрити позицію за нереальним курсом або миттєво закрити її з прибутком за рахунок пулу ліквідності.

Такий вектор атаки трапляється дедалі частіше серед перп-протоколів та лендингових платформ, де ціна оновлюється зовнішнім джерелом даних, а не власним ончейн-механізмом. Частина протоколів після подібних інцидентів переходить на децентралізовані мережі оракулів, де ціну агрегують десятки незалежних вузлів, а не один підписуючий ключ.

У класичній моделі push-оракула дані оновлює обмежене коло довірених вузлів або підписантів через певні інтервали. Якщо зловмисник отримує доступ до одного з ключів підпису, він може одноразово розіслати підроблену ціну ще до того, як систему встигнуть заблокувати. Саме тому дослідники безпеки радять протоколам переходити на мультипідписи для оновлення оракулів і встановлювати ліміти на максимальну зміну ціни за одну ітерацію.

У подібних випадках команди протоколів нерідко пропонують хакеру білу винагороду в обмін на повернення коштів, а централізовані біржі блокують гаманці, пов'язані з атакою, якщо зловмисник намагається обміняти вкрадені токени. Чи піде цим шляхом Ostium, поки невідомо: команда обмежилась порадами для користувачів.

  • Тимчасово відкликати дозволи (approvals) для контрактів Ostium.
  • Не поповнювати ліквідний пул OLP до офіційного оновлення від команди.
  • Стежити за акаунтом Ostium в X щодо статусу розслідування.
  • Уникати взаємодії зі старими схваленими контрактами протоколу.

Хвиля атак на DeFi

Злом Ostium став черговим у серії інцидентів, пов'язаних саме з маніпуляцією оракулами. Раніше цього місяця подібна атака на оракул коштувала лендинговому протоколу Bonzo Lend $9 мільйонів. Обидва випадки показують, що зовнішні джерела цінових даних лишаються слабким місцем навіть у протоколах із великим обсягом торгів і аудитом коду.

Ostium побудований на мережі другого рівня Ethereum і дає доступ до децентралізованих деривативів без посередників. Відкрита архітектура приваблює трейдерів низькими комісіями та швидкістю розрахунків, але заразом створює додаткову поверхню для атак на оракули.

Перп-протоколи особливо приваблюють зловмисників через масштаб застави, яку тримають у спільних пулах. На відміну від спотових бірж, де кошти користувачів розподілені по окремих гаманцях, тут значна сума лежить під контролем одного смарт-контракту, і успішна атака одразу дає доступ до всього пулу.

Для індустрії це черговий сигнал. Аудит смарт-контрактів давно став стандартом, а от перевірка надійності самого джерела цінових даних усе ще залишається слабкою ланкою для багатьох деривативних платформ. Поки Ostium рахує збитки, користувачам варто перевірити власні схвалені контракти і не поспішати повертатися до торгівлі на платформі до офіційного пояснення причин.

Коментарі

Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *

або підтвердіть через email