Harga "Masa Depan" Menipu Oracle, Ostium Dikosongkan 2400 Juta Dolar dalam Lima Menit

marsbitDipublikasikan tanggal 2026-07-17Terakhir diperbarui pada 2026-07-17

Abstrak

**Ostium Rugi $24 Juta karena Oracle Data dari 'Masa Depan'** Platform perdagangan perpetual on-chain Ostium mengalami insiden keamanan yang berlangsung hanya lima menit pada 15 Juli, menyebabkan kerugian besar pada vault likuiditas publiknya. Berbagai firma keamanan memperkirakan kerugian mencapai sekitar $24 juta. Insiden ini unik karena bukan disebabkan oleh tanda tangan yang hilang, melainkan oleh data yang dimanipulasi yang disampaikan oleh *signer* (penanda tangan) yang sah. Menurut analisis awal Blockaid dan Cyvers, sebuah *PriceUpKeep forwarder* yang terdaftar mengirimkan laporan oracle yang sah secara kriptografis tetapi berisi data harga dengan *timestamp* di masa depan. Data beracun ini menciptakan keuntungan perdagangan palsu yang kemudian diselesaikan dan dibayar oleh vault likuiditas protocol. Kode verifikasi Ostium (*OstiumVerifier*) memang memastikan laporan ditandatangani oleh pihak yang berwenang, namun tampaknya tidak memiliki pemeriksaan ketat untuk keabsahan harga, batasan *timestamp*, atau perlindungan dari penyimpangan data. Dengan kata lain, otentikasi berhasil, tetapi data itu sendiri berbahaya. Setelah didapatkan, dana dalam USDC dikonversi menjadi ETH dan sebagian besar dicuci melalui Tornado Cash. Ostium mengklaim telah menghentikan perdagangan dalam satu jam, bekerja sama dengan pihak berwenang dan pakar keamanan, namun laporan pasca-kejadian resmi beserta rincian kerugian akhir dan penyebab mendasar masih belum dirilis. Insiden ini menyoroti...

Penulis: CryptoSlate

Kompilasi: Deep Tide TechFlow

Panduan Deep Tide: Ini bukan masalah tanda tangan yang hilang, tetapi penandatangan yang berwenang mengirimkan data harga "dari masa depan". Ketika verifikasi lolos tetapi data itu sendiri beracun, di manakah pertahanan protokol DeFi? Ostium hingga kini belum merilis perhitungan kerugian akhir dan laporan pasca-kejadian, meninggalkan pertanyaan besar mengenai penyalahgunaan wewenang penandatangan.

Platform perdagangan berjangka on-chain Ostium menyatakan bahwa sebuah insiden keamanan yang berlangsung selama lima menit menyebabkan kerugian pada kas likuiditas publik mereka. Perusahaan keamanan memperkirakan skala kerentanan mencapai 24 juta dolar.

Pendiri bersama Kaledora Kiernan-Linn mengkonfirmasi, masalah terjadi pada 15 Juli antara pukul 14:18 hingga 14:23 UTC, yang berdampak pada kas Penyedia Likuiditas Ostium (OLP) publik. Dia menyatakan tim menemukan masalah dalam beberapa menit dan mengoordinasikan penghentian perdagangan dalam waktu satu jam. Pernyataan tersebut tidak memberikan total kerugian pasti, akar penyebab, atau laporan pasca-kejadian akhir.

Perusahaan keamanan menyebut inti peristiwa adalah data yang berwenang, bukan tanda tangan yang hilang. Blockaid dan Cyvers menyatakan, sebuah penerus PriceUpKeep yang terdaftar mengirimkan laporan oracle berwenang dengan tanggal di masa depan, menciptakan keuntungan perdagangan palsu.

SlowMist menyebutkan, penandatangan yang berwenang menyediakan data yang dimanipulasi dengan tanda tangan yang valid, digunakan untuk perdagangan yang menguntungkan secara berulang. Deskripsi ini masih merupakan temuan pihak ketiga, menunggu konfirmasi dari laporan pasca-kejadian Ostium.

Autentikasi kriptografi dapat mengkonfirmasi bahwa laporan ditandatangani oleh kunci yang diizinkan. Namun, kelayakan harga, kesegaran timestamp, dan keamanan penyelesaian memerlukan kontrol terpisah.

Kode OstiumVerifier yang ditautkan dari dokumen keamanan Ostium akan memulihkan penandatangan ECDSA dan memeriksa apakah penandatangan tersebut berwenang, tetapi fungsi verifikasi ini tidak memberlakukan pengujian kelayakan harga atau batas timestamp.

Kode tersebut tampaknya tidak menunjukkan versi implementasi mana yang aktif selama peristiwa, atau apakah ada kontrak terpisah yang menerapkan pemeriksaan ini. Setiap proteksi terkait timestamp, pengulangan, penyimpangan harga, atau multi-sumber harus berjalan di lokasi lain dalam jalur eksekusi.

Saham Tokenisasi sebagai Jaminan Dapat Gagal, Meskipun Harga Saham Tidak Bergerak

Dokumen protokol Ostium menyatakan, kas OLP menyimpan jaminan pedagang dan membayar perdagangan yang menang secara instan di on-chain. Jika keuntungan palsu diterima untuk diselesaikan, likuiditas kas membayar untuk pembayaran tersebut.

Perkiraan publik terus meningkat seiring pelacakan. Blockaid menganggap pembayaran mendekati 18 juta dolar, Cyvers memperkirakan 23,7 juta dolar, PeckShield kemudian menggambarkan sekitar 24 juta dolar disedot keluar.

Angka 11,86 juta dolar dari SlowMist yang lebih rendah tampaknya melacak satu aliran keluar kas sebesar 11.862.444,782 USDC yang terlihat dalam transaksi yang mereka rujuk.

Kerentanan DeFi SummerFi Baru Menunjukkan Otomatisasi AI Kini Mengungguli Risiko Kontrak Cerdas

PeckShield menyatakan, USDC yang ditarik ditukar menjadi 12.080 ETH, dan pada saat pembaruan mereka, 10.540 ETH telah masuk ke Tornado Cash. Kiernan-Linn mengatakan Ostium sedang bekerja sama dengan penegak hukum, SEAL 911, dan pakar keamanan pihak ketiga.

Mekanisme ini membedakan Ostium dari masalah serupa pada protokol pinjaman Hedera Bonzo Lend empat hari sebelumnya. Laporan peristiwa Bonzo menyatakan bahwa validator mereka menerima bukti tanpa tanda tangan yang valid. Sedangkan dalam kasus Ostium, perusahaan keamanan mengklaim laporan lolos melalui jalur penandatangan berwenang: autentikasi berhasil, tetapi data diklaim tidak aman.

Bagaimana Oracle Tanpa Tanda Tangan Membuka Kunci 9 Juta Dolar dari Protokol Pinjaman DeFi Hedera Bonzo Lend

Ostium masih perlu mengkonfirmasi apakah kunci penandatangan diretas, operator berwenang bertindak jahat, atau jalur istimewa lainnya disalahgunakan.

Perbaikan mereka akan dinilai berdasarkan apakah isolasi penandatangan, batas timestamp yang ketat, pemeriksaan harga independen, pembatasan laju, dan mekanisme pemutusan dapat mencegah satu jalur terpercaya mengubah beberapa menit data buruk menjadi pembayaran kas lainnya.

Pertanyaan Terkait

QApa yang menjadi inti dari insiden keamanan yang dialami oleh platform perdagangan berjangka Ostium?

AInti insiden adalah bahwa seorang penjaga harga (PriceUpKeep forwarder) yang terdaftar dan berwenang mengirimkan laporan oracle yang berisi data harga dengan tanggal di masa depan (data masa depan yang beracun), yang menciptakan keuntungan trading palsu sehingga menguras dana treasury.

QBagaimana cara serangan ini berbeda dengan insiden serupa di protokol Bonzo Lend?

APada insiden Bonzo Lend, verifikator menerima bukti tanpa tanda tangan yang valid. Sedangkan pada kasus Ostium, laporan oracle tersebut memiliki tanda tangan yang sah dan diverifikasi berasal dari penanda tangan yang berwenang, namun data di dalam laporan itu sendiri (harga dan timestamp) telah dimanipulasi.

QLangkah-langkah apa yang disebutkan dapat mencegah kejadian serupa di masa depan?

ALangkah-langkah pencegahan yang disebutkan antara lain: isolasi penanda tangan (signer isolation), penerapan batasan timestamp yang ketat, pemeriksaan harga secara independen, pembatasan kecepatan transaksi (rate limiting), dan mekanisme pemutusan sirkuit (circuit breaker).

QBerapa perkiraan total kerugian yang dialami Ostium berdasarkan berbagai laporan perusahaan keamanan?

APerkiraan kerugian bervariasi: Blockaid memperkirakan sekitar $18 juta, Cyvers sekitar $23.7 juta, dan PeckShield sekitar $24 juta. SlowMist melaporkan angka yang lebih rendah, sekitar $11.86 juta, berdasarkan satu transaksi keluar yang terlihat.

QApa kekurangan dalam kode kontrak verifikasi Ostium (OstiumVerifier) yang berkontribusi pada insiden ini?

AKode verifikasi Ostium hanya memeriksa apakah laporan ditandatangani oleh penanda tangan yang berwenang. Namun, kode tersebut tidak menerapkan pengujian kewajaran harga (price reasonableness) atau batasan waktu (timestamp boundaries) untuk memastikan data yang digunakan masih segar dan akurat.

Bacaan Terkait

Visa Melangkah Lebih Jauh ke Hulu Industri Stablecoin

**Ringkasan: Visa Melangkah Lebih Jauh ke Hulu Industri Stablecoin** Visa, salah satu jaringan pembayaran terbesar di dunia, telah meluncurkan **Visa Stablecoin Platform (VSP)**, sebuah platform layanan stabil korporat untuk bank dan perusahaan fintech. Platform ini memungkinkan institusi keuangan memproses stablecoin langsung dalam alur pembayaran dan perbendaharaan Visa yang ada, menjangkau sekitar 15.000 institusi keuangan dan lebih dari 200 juta merchant di jaringannya. VSP menyediakan infrastruktur dompet serta kontrol dan alur kerja yang terintegrasi. VSP memulai dengan **OUSD**, stablecoin baru dari aliansi Open Standard, sambil tetap mendukung **USDC (Circle)** dan **USDG (Paxos)**. Langkah ini menandai evolusi strategi Visa dalam ekosistem stablecoin, dari sekadar *pengguna* untuk penyelesaian transaksi, menjadi *pendistribusi* melalui kartu dan Visa Direct, lalu *pemberdaya* dengan platform VTAP, dan kini menjadi *hub terpusat* dengan VSP. Artikel ini menganalisis bahwa Visa dengan sengaja **menghindari menerbitkan stablecoin miliknya sendiri** karena alasan konflik kepentingan dan model bisnis. Sebagai jaringan netral, Visa mengutamakan peran sebagai "pintu masuk" yang penting bagi semua penerbit. Alih-alih menerbitkan sendiri, Visa memilih berkolaborasi dengan **OUSD**, stablecoin berbasis aliansi di mana Visa dapat berbagi manfaat ekonomi tanpa menjadi penerbit tunggal yang menanggung beban regulasi dan risiko. Dengan VSP, Visa memperkuat posisinya sebagai infrastruktur penting di hulu industri stablecoin tanpa perlu turun langsung ke arena penerbitan.

Foresight News12m yang lalu

Visa Melangkah Lebih Jauh ke Hulu Industri Stablecoin

Foresight News12m yang lalu

‘40% pasokan jangka panjang dalam keadaan rugi’ – Mengapa Fidelity memprediksikan Bitcoin akan mencapai dasar siklus pasar

Bitcoin menunjukkan tanda-tanda pembentukan dasar siklus pasar setelah penurunan berkepanjangan. Analis Fidelity, Zack Wainwright, mencatat bahwa hampir 40% pasokan Bitcoin yang dipegang oleh pemegang jangka panjang (lebih dari 6 bulan) kini dalam posisi rugi, suatu level yang secara historis sering bertepatan dengan proses pembentukan dasar harga. Data CryptoQuant menunjukkan pasokan dalam kerugian bahkan pernah mencapai 50%, mirip dengan pola saat BTC mencapai dasar di sekitar $16K pada 2022. Namun, permintaan dari ETF Bitcoin Spot AS tetap lesu. Rata-rata arus keluar ETF masih signifikan, dan volume perdagangan yang rendah menunjukkan minat spekulatif yang berkurang. Menurut Glassnode, pemulihan berkelanjutan memerlukan peningkatan permintaan institusional. Posisi opsi pasar mengungkapkan ekspektasi trader profesional. Volume opsi terbesar terkonsentrasi pada target put (taruhan bearish) di $62,5K dan $56K, yang menunjukkan lindung nilai terhadap potensi penurunan lebih lanjut. Meski demikian, ada juga volume call (taruhan bullish) yang menargetkan $68K dan $79K, mengisyaratkan ekspektasi pergerakan harga sideways antara $55K-$70K pada Juli. Secara keseluruhan, level $60K dianggap sebagai support kunci dan berpotensi menjadi dasar siklus. Namun, penurunan tajam di bawah level tersebut tetap mungkin terjadi dalam jangka pendek karena tekanan makroekonomi dan geopolitik.

ambcrypto15m yang lalu

‘40% pasokan jangka panjang dalam keadaan rugi’ – Mengapa Fidelity memprediksikan Bitcoin akan mencapai dasar siklus pasar

ambcrypto15m yang lalu

Membongkar Otak Claude Tidak Berguna, Kunci Sebenarnya dari Kotak Hitam AI Tersembunyi dalam Teknik Ontologi

Anthropic tim menemukan "J-Space", area dalam Claude yang bisa diamati dan diintervensi, menandai kemajuan interpretabilitas AI dari penjelasan perilaku ke pengamatan keadaan internal secara real-time. Namun, pendekatan neurosains ini memiliki keterbatasan mendasar: ia berfokus pada "apa yang terjadi di dalam model" seperti memindai aktivitas saraf, tetapi gagal menjelaskan makna sebenarnya dari output model, alasan di balik pemikirannya, atau hubungannya dengan pengetahuan dunia nyata. Artikel ini mengusulkan pergeseran perspektif: inti interpretabilitas harus beralih dari "bagaimana model berpikir" ke "informasi apa yang diproses model dan status ontologisnya". Model bahasa besar pada dasarnya adalah pemroses informasi; makna teks yang perlu dijelaskan terletak pada hubungan simbol dengan dunia, pengetahuan, dan praktik manusia, bukan dalam nilai aktivasi neuron. Filosofi Kant tentang dua belas kategori murni pemahaman memberikan kunci filosofis: yang "dapat dijelaskan" adalah proses informasi yang dikategorikan dan distrukturkan menjadi pengetahuan yang dapat dipahami. Interpretabilitas membutuhkan pemetaan struktur informasi model ke kerangka kerja konseptual ini. Di sinilah rekayasa ontologi menjadi jembatan penting ke praktik. Rekayasa ontologi mengubah kategori filosofis menjadi entitas teknis yang dapat dihitung. Model bahasa besar merevolusi praktiknya dengan mengekstraksi pola semantik secara efisien, mengubah pembangunan ontologi dari penyusunan manual menjadi produksi kolaboratif manusia-AI. Sebaliknya, ontologi memberdayakan model dengan menyediakan basis pengetahuan terstruktur, kerangka pemeriksaan untuk konsistensi, dan yang terpenting, struktur jangkar untuk penjelasan. Ketika output model dapat ditelusuri kembali ke entri ontologi, penjelasan bergantung pada pelacakan struktur pengetahuan, bukan menebak keadaan internal jaringan saraf. Masa depan interpretabilitas terletak pada beralih dari mencoba "membuka kotak hitam" ke upaya membuat dampak model di dunia nyata dapat dipahami, dilacak, dan dipertanggungjawabkan. Rekayasa ontologi menyediakan kerangka kerja praktis dengan membangun "kerangka semantik" yang ramah-AI, di mana penalaran model ditambatkan pada struktur pengetahuan yang terdefinisi dengan jelas. Ini mengubah interpretabilitas dari tantangan teknis yang hampir mustahil menjadi tujuan tata kelola yang dapat didekati melalui rekayasa.

marsbit17m yang lalu

Membongkar Otak Claude Tidak Berguna, Kunci Sebenarnya dari Kotak Hitam AI Tersembunyi dalam Teknik Ontologi

marsbit17m yang lalu

Trading

Spot
活动图片