Penulis: CryptoSlate
Kompilasi: Deep Tide TechFlow
Panduan Deep Tide: Ini bukan masalah tanda tangan yang hilang, tetapi penandatangan yang berwenang mengirimkan data harga "dari masa depan". Ketika verifikasi lolos tetapi data itu sendiri beracun, di manakah pertahanan protokol DeFi? Ostium hingga kini belum merilis perhitungan kerugian akhir dan laporan pasca-kejadian, meninggalkan pertanyaan besar mengenai penyalahgunaan wewenang penandatangan.
Platform perdagangan berjangka on-chain Ostium menyatakan bahwa sebuah insiden keamanan yang berlangsung selama lima menit menyebabkan kerugian pada kas likuiditas publik mereka. Perusahaan keamanan memperkirakan skala kerentanan mencapai 24 juta dolar.
Pendiri bersama Kaledora Kiernan-Linn mengkonfirmasi, masalah terjadi pada 15 Juli antara pukul 14:18 hingga 14:23 UTC, yang berdampak pada kas Penyedia Likuiditas Ostium (OLP) publik. Dia menyatakan tim menemukan masalah dalam beberapa menit dan mengoordinasikan penghentian perdagangan dalam waktu satu jam. Pernyataan tersebut tidak memberikan total kerugian pasti, akar penyebab, atau laporan pasca-kejadian akhir.
Perusahaan keamanan menyebut inti peristiwa adalah data yang berwenang, bukan tanda tangan yang hilang. Blockaid dan Cyvers menyatakan, sebuah penerus PriceUpKeep yang terdaftar mengirimkan laporan oracle berwenang dengan tanggal di masa depan, menciptakan keuntungan perdagangan palsu.
SlowMist menyebutkan, penandatangan yang berwenang menyediakan data yang dimanipulasi dengan tanda tangan yang valid, digunakan untuk perdagangan yang menguntungkan secara berulang. Deskripsi ini masih merupakan temuan pihak ketiga, menunggu konfirmasi dari laporan pasca-kejadian Ostium.
Autentikasi kriptografi dapat mengkonfirmasi bahwa laporan ditandatangani oleh kunci yang diizinkan. Namun, kelayakan harga, kesegaran timestamp, dan keamanan penyelesaian memerlukan kontrol terpisah.
Kode OstiumVerifier yang ditautkan dari dokumen keamanan Ostium akan memulihkan penandatangan ECDSA dan memeriksa apakah penandatangan tersebut berwenang, tetapi fungsi verifikasi ini tidak memberlakukan pengujian kelayakan harga atau batas timestamp.
Kode tersebut tampaknya tidak menunjukkan versi implementasi mana yang aktif selama peristiwa, atau apakah ada kontrak terpisah yang menerapkan pemeriksaan ini. Setiap proteksi terkait timestamp, pengulangan, penyimpangan harga, atau multi-sumber harus berjalan di lokasi lain dalam jalur eksekusi.
Saham Tokenisasi sebagai Jaminan Dapat Gagal, Meskipun Harga Saham Tidak Bergerak
Dokumen protokol Ostium menyatakan, kas OLP menyimpan jaminan pedagang dan membayar perdagangan yang menang secara instan di on-chain. Jika keuntungan palsu diterima untuk diselesaikan, likuiditas kas membayar untuk pembayaran tersebut.

Perkiraan publik terus meningkat seiring pelacakan. Blockaid menganggap pembayaran mendekati 18 juta dolar, Cyvers memperkirakan 23,7 juta dolar, PeckShield kemudian menggambarkan sekitar 24 juta dolar disedot keluar.
Angka 11,86 juta dolar dari SlowMist yang lebih rendah tampaknya melacak satu aliran keluar kas sebesar 11.862.444,782 USDC yang terlihat dalam transaksi yang mereka rujuk.
Kerentanan DeFi SummerFi Baru Menunjukkan Otomatisasi AI Kini Mengungguli Risiko Kontrak Cerdas
PeckShield menyatakan, USDC yang ditarik ditukar menjadi 12.080 ETH, dan pada saat pembaruan mereka, 10.540 ETH telah masuk ke Tornado Cash. Kiernan-Linn mengatakan Ostium sedang bekerja sama dengan penegak hukum, SEAL 911, dan pakar keamanan pihak ketiga.
Mekanisme ini membedakan Ostium dari masalah serupa pada protokol pinjaman Hedera Bonzo Lend empat hari sebelumnya. Laporan peristiwa Bonzo menyatakan bahwa validator mereka menerima bukti tanpa tanda tangan yang valid. Sedangkan dalam kasus Ostium, perusahaan keamanan mengklaim laporan lolos melalui jalur penandatangan berwenang: autentikasi berhasil, tetapi data diklaim tidak aman.
Bagaimana Oracle Tanpa Tanda Tangan Membuka Kunci 9 Juta Dolar dari Protokol Pinjaman DeFi Hedera Bonzo Lend
Ostium masih perlu mengkonfirmasi apakah kunci penandatangan diretas, operator berwenang bertindak jahat, atau jalur istimewa lainnya disalahgunakan.
Perbaikan mereka akan dinilai berdasarkan apakah isolasi penandatangan, batas timestamp yang ketat, pemeriksaan harga independen, pembatasan laju, dan mekanisme pemutusan dapat mencegah satu jalur terpercaya mengubah beberapa menit data buruk menjadi pembayaran kas lainnya.





