bitcoin.pl logo
BTCN/A
Bitcoin
$62,937.12239 231 zł
Cyberbezpieczeństwo
2026-07-17
3 min czytania

Haker sfałszował ceny z przyszłości. Giełda sama wypłaciła mu 18 milionów dolarów

Michał Nalewajko
Michał NalewajkoRedaktor Bitcoin.pl
Futures03.25-PL_Images_728x90_04_v1b
Kluczowe wnioski:
  • Atakujący zdobył klucz podpisujący raporty cenowe giełdy Ostium i karmił ją notowaniami z datami z przyszłości. Protokół sam wypłacił mu fikcyjne zyski, łącznie od 18 do 23,7 mln USD.
  • Skarbiec płynności stopniał z 32,7 mln do około 9 mln USD. Stratę poniosą dostawcy płynności, a środki traderów są zamrożone, ale nienaruszone.
  • To drugi atak na infrastrukturę cenową DeFi w dwa tygodnie. Na początku lipca Summer.fi straciło 6 mln USD i ogłosiło zamknięcie.

Ostium to zdecentralizowana giełda kontraktów terminowych działająca na Arbitrum, drugiej warstwie Ethereum. Pozwala grać z dźwignią do 200x na złocie, walutach i indeksach giełdowych, a rozliczenia prowadzi w stablecoinie USDC. W środę 15 lipca firma bezpieczeństwa Blockaid wykryła, że ktoś metodycznie drenuje jej główny skarbiec. Handel natychmiast zamrożono. Nikt nie złamał kodu ani zabezpieczeń. Atakujący przekonał system, że zna ceny z przyszłości, a system mu za to zapłacił.

Klucz, który podpisywał przyszłość

Ceny złota czy indeksów nie biorą się na blockchainie znikąd. Dostarcza je oracle, czyli mechanizm, który podpisuje raporty cenowe kryptograficznym kluczem i wysyła je do smart kontraktu. Kontrakt ufa każdemu raportowi z poprawnym podpisem.
Atakujący zdobył właśnie taki klucz. Według Blockaid podpisywał nim raporty z datami z przyszłości i wpuszczał je do systemu przez zarejestrowany komponent o nazwie PriceUpKeep. Dla protokołu wyglądały jak najprawdziwsze notowania. Na ich podstawie przeprowadził około 20 pętli transakcji, z których każda kończyła się zyskiem. A zysk tradera skarbiec wypłaca automatycznie. Nie było tu klasycznego włamania. System działał dokładnie tak, jak go zaprojektowano, tylko na fałszywych danych.

Z 32,7 mln USD zostało 9 mln

Skala rozjeżdża się między źródłami, więc podaję oba odczyty. Blockaid potwierdziła wypłatę około 18 mln USD. Stan skarbca sugeruje więcej: przed atakiem trzymał 32,7 mln USD, po ataku zostało w nim około 9 mln. Ubytek sięga więc 23,7 mln USD, czyli około 72 procent całości. Łup został zamieniony na ethery i rozproszony po wielu portfelach.
Poszkodowani to nie traderzy, tylko dostawcy płynności. W modelu Ostium deponują oni USDC w skarbcu i zarabiają na prowizjach, ale w zamian skarbiec jest drugą stroną każdej transakcji na platformie. Gdy zyski okazały się sfabrykowane, pieniądze wypłynęły dokładnie z ich puli. Środki traderów i otwarte pozycje są zamrożone, ale według zespołu nienaruszone.

Drugi skok na wyrocznię w dwa tygodnie

Ostium nie jest garażowym projektem. Zebrało 27,8 mln USD od funduszy, w tym rundę prowadzoną przez General Catalyst i Jump Crypto, a według CoinDesk przerobiło ponad 50 mld USD skumulowanego obrotu. Kontrakty przeszły audyty.
I to jest w tej historii najciekawsze. Na początku lipca identyczny w mechanice atak zabrał 6 mln USD protokołowi Summer.fi, który ogłosił już zamknięcie. Wzorzec się powtarza: napastnicy nie szukają błędu w kodzie, który audytorzy przeczesali dziesięć razy. Szukają klucza, uprzywilejowanej roli, automatu wciskającego ceny na łańcuch. Audyt smart kontraktu nie audytuje człowieka z kluczem w kieszeni.

Co to oznacza dla Ciebie

Jeśli trzymasz środki jako dostawca płynności w dowolnym protokole DeFi, warto zadać jedno pytanie: kto podpisuje ceny, na których ten protokół polega, i co się stanie, gdy ten podpis wpadnie w niepowołane ręce. "Audytowany kod" brzmi uspokajająco, ale klucze, oracle i automatyzacja leżą poza zakresem większości audytów. Ostium obiecuje raport z dochodzenia i rozmawia z ekspertami o odzyskaniu środków. Historia branży podpowiada jednak, że pieniądze zamienione na ethery i rozsypane po portfelach rzadko wracają. Uważam, że dywersyfikacja między protokołami to nie paranoja, tylko higiena.
Chcesz być na bieżąco? Zaobserwuj nas w
Google News
Obserwuj

Newsletter Bitcoin.pl

Najważniejsze newsy i insiderskie informacje prosto na Twój email.

Dbamy o ochronę Twoich danych. Polityka Prywatności