Автор: CryptoSlate
Компиляция: Deep Tide TechFlow
Введение Deep Tide: Здесь не не хватало подписи, а авторизованные подписанты представили ценовые данные "из будущего". Когда проверка пройдена, но сами данные ядовиты, где же защитный ров у протоколов DeFi? Ostium до сих пор не опубликовал окончательный расчет убытков и посмертный отчет, оставив огромный вопрос о злоупотреблении полномочиями подписанта.
Ончейн платформа для торговли перпетуальными контрактами Ostium сообщила, что инцидент безопасности, длившийся пять минут, привел к потере средств в её публичном пуле ликвидности. По оценкам компании безопасности, масштаб уязвимости составляет до 24 миллионов долларов.
Соучредитель Kaledora Kiernan-Linn подтвердила, что проблема произошла 15 июля с 14:18 до 14:23 по UTC, затронув публичный казначейский пул ликвидности Ostium (OLP). Она заявила, что команда обнаружила проблему в течение нескольких минут и координировала приостановку торгов в течение часа. В заявлении не указаны точная сумма потерь, первопричина или окончательный посмертный отчет.
Компании безопасности утверждают, что суть инцидента — в авторизованных данных, а не в отсутствии подписи. Blockaid и Cyvers заявили, что зарегистрированный ретранслятор PriceUpKeep отправил авторизованный отчёт оракула с датами из будущего, создавая ложную прибыль от сделок.
SlowMist утверждает, что авторизованный подписант предоставил манипулируемые данные с действительной подписью, которые использовались для повторяющихся прибыльных сделок. Эти описания по-прежнему являются выводом третьих сторон и нуждаются в подтверждении отчётом Ostium.
Криптографическая аутентификация может подтвердить, что отчёт был подписан разрешённым ключом. Однако для безопасности расчётов требуются отдельные меры контроля за достоверностью цены, актуальностью временных меток и безопасностью расчетов.
Код OstiumVerifier, на который ссылается документация по безопасности Ostium, восстанавливает подписанта ECDSA и проверяет, авторизован ли подписант, но эта функция проверки не применяет тесты на достоверность цены или границы временных меток.
Похоже, код не указывает, какая версия реализации была активна во время инцидента или применялись ли эти проверки в отдельном контракте. Любые меры защиты, такие как проверка временных меток, защита от повторного использования, отклонения цены или множественности источников, должны работать где-то ещё на пути исполнения.
Даже без движения акций токенизированные акции как залог становятся недействительными
Документация протокола Ostium утверждает, что казначейство OLP хранит залог трейдеров и мгновенно выплачивает выигрышные сделки в ончейн. Если ложная прибыль принимается к расчету, ликвидность казначейства оплачивает эти выплаты.

Публичные оценки росли по мере отслеживания. Blockaid считает, что выплаты составили почти 18 миллионов долларов, Cyvers оценивает в 23,7 миллиона долларов, а позже PeckShield описал вывод около 24 миллионов долларов.
Более низкая цифра SlowMist в 11,86 миллиона долларов, по-видимому, отслеживает видимый в указанной ими транзакции отток 11 862 444,782 USDC из казначейства.
Новая уязвимость DeFi SummerFi показывает, что автоматизация на основе ИИ теперь превосходит риски смарт-контрактов
PeckShield сообщает, что изъятый USDC был обменян на 12 080 ETH, и на момент их обновления 10 540 ETH уже попали в Tornado Cash. Kiernan-Linn заявила, что Ostium сотрудничает с правоохранительными органами, SEAL 911 и сторонними экспертами по безопасности.
Этот механизм отличает Ostium от аналогичной проблемы в кредитном протоколе Hedera Bonzo Lend четырьмя днями ранее. В отчёте о событии Bonzo говорится, что их валидатор принял доказательство без действительной подписи. В случае же с Ostium компании безопасности утверждают, что отчёт прошел путь авторизованного подписанта: аутентификация прошла успешно, но данные, как утверждается, были небезопасны.
Как оракул с нулевой подписью разблокировал 9 миллионов долларов в DeFi-кредитном протоколе Hedera Bonzo Lend
Ostium всё ещё должен подтвердить, был ли скомпрометирован ключ подписанта, действовал ли авторизованный оператор со злым умыслом или был ли использован какой-либо другой привилегированный путь.
Эффективность их исправлений будет оцениваться по тому, смогут ли изоляция подписантов, строгие границы временных меток, независимые проверки цен, ограничение скорости и механизмы аварийного отключения предотвратить превращение нескольких минут некорректных данных через доверенный путь в очередную выплату из казначейства.





