Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Ostium, uma plataforma de negociação de títulos perpétuos em rede, disse que um incidente de segurança de cinco minutos causou perdas em seu cofre de liquidez pública. As empresas de segurança estimaram a exploração em até US$ 24 milhões.
Cofundadora Kaledora Kiernan-Linn confirmado que o problema ocorreu das 14h18 às 14h23 UTC de 15 de julho e afetou o cofre público do Ostium Liquidity Provider (OLP). Ela disse que a equipe o identificou em minutos e coordenou uma pausa comercial em uma hora. A declaração não forneceu um total definitivo da perda, nem identificou a causa raiz, nem forneceu uma autópsia final.
As empresas de segurança disseram que os dados autorizados, e não a falta de uma assinatura, estavam no centro do incidente. Bloqueio e Civers disse que um despachante PriceUpKeep registrado enviou relatórios oracle autorizados e com datas futuras que criaram lucros comerciais artificiais.
névoa lenta disse que um signatário autorizado forneceu dados manipulados assinados de forma válida, usados para repetidas negociações lucrativas. Essas descrições permanecem descobertas de terceiros enquanto se aguarda a autópsia de Ostium.
A autenticação criptográfica pode estabelecer que uma chave permitida assinou um relatório. A plausibilidade do preço, a atualização do carimbo de data/hora e a segurança da liquidação exigem controles separados.
O Código OstiumVerifier vinculado do Ostium’s documentação de segurança recupera um signatário ECDSA e verifica se o signatário está autorizado, mas essa função de verificador não impõe um teste de plausibilidade de preço ou limite de carimbo de data/hora.
O código não parece identificar qual implementação estava ativa durante o incidente ou se contratos separados aplicaram essas verificações. Qualquer registro de data e hora, repetição, desvio de preço ou salvaguardas de múltiplas fontes teriam que operar em outro lugar no caminho de execução.
Óstio documentação de protocolo afirma que o cofre OLP mantém as garantias dos traders e paga as negociações vencedoras imediatamente na rede. Se lucros artificiais fossem aceitos para liquidação, a liquidez do cofre financiaria os pagamentos.
As estimativas publicadas aumentaram à medida que o rastreamento continuou. A Blockaid estimou o pagamento em cerca de US$ 18 milhões, Cyvers estimou US$ 23,7 milhões e PeckShield mais tarde descreveu cerca de US$ 24 milhões drenados.
O valor mais baixo de US$ 11,86 milhões do SlowMist parece rastrear uma saída de cofre de 11.862.444.782 USDC visível em seu transação citada.
PeckShield disse que o USDC extraído foi trocado por 12.080 ETH e que 10.540 ETH chegaram ao Tornado Cash com sua atualização. Kiernan-Linn disse que Ostium estava trabalhando com autoridades policiais, SEAL 911 e especialistas em segurança terceirizados.
A mecânica distingue o Ostium de um problema semelhante com o Bonzo Lend, um credor da Hedera atingido quatro dias antes. Bonzo relatório de incidente disse que seu verificador aceitou uma prova sem assinatura válida. No caso da Ostium, as empresas de segurança alegam que os relatórios vieram através de um caminho de signatário autorizado: a autenticação foi bem-sucedida, mas os dados eram supostamente inseguros.
Ostium ainda precisa estabelecer se uma chave de assinante foi comprometida, se um operador autorizado agiu maliciosamente ou se outro caminho privilegiado foi abusado.
Sua remediação será avaliada se o isolamento do assinante, os limites rígidos de carimbo de data/hora, as verificações independentes de preços, os limites de taxa e os disjuntores podem impedir que um caminho confiável transforme minutos de dados ruins em outro pagamento de cofre.