Arbitrum上でRWAパーペチュアルプラットフォームを展開するOstiumで15日、オラクル署名者キーの流出と価格操作により、約1800万ドル相当のUSDCが不正流出した。
主因は、オラクル署名者の秘密鍵が侵害されたことにある。この結果、攻撃者は検証チェックを回避し、将来に有利な価格を入力できた。攻撃者は約20回のループ型取引を委任取引として実行し、市場リスクを負うことなくプロトコルから即時に利益を得た。
数時間でボールト資産の3分の1が流出
セキュリティ企業Blockaidが最初にこの事案を警告し、攻撃者が登録済みのPriceUpKeepフォワーダおよび将来日付のオーソライズド・オラクルレポートを使って人工的な取引利益を発生させたと指摘した。これにより、Ostiumのメイン流動性ボールトから資金が繰り返し開閉ループで引き出された。
最新ニュースをXでフォロー リアルタイムで情報をお届け
オンチェーンデータによると、ボールトから約1186万~1800万ドル相当のUSDCが引き出された。攻撃当時のTVL約6300万ドルの約28%に相当する。主なエクスプロイト取引はArbiscan上で公開確認が可能である。
Ostiumは、株式・コモディティ・FX・指数など現実資産を扱う主要な分散型パーペチュアル取引所であり、Arbitrum上に構築されている。
大型出資に冷や水 主要プロジェクトで被害
同プロトコルは、General Catalyst、Jump Crypto、コインベース・ベンチャーズ、Wintermute、GSRなど一流投資家から約2780万ドルの資金調達を行った。
強力な機関投資家の後ろ盾や複数回の監査にもかかわらず、今回の事故はオラクル依存型RWAインフラに根強いリスクが残る実態を浮き彫りにした。
エクスプロイトは現在も調査中。ユーザーは公式発表で引き出し指針やセキュリティ情報を確認する必要がある。本件は、ハイブリッド型DeFiプロトコルでのオラクル鍵管理強化やリアルタイム監視の必要性を示している。
RWAパーペチュアル市場の急拡大が続く中、今回の攻撃は、潤沢な資金を持つプロジェクトであっても秘密鍵・オラクル関連の攻撃には常に脆弱性が残ることを改めて示している。









