Theo CoinDesk đưa tin ngày 13 (giờ địa phương), nền tảng phái sinh **"Ostium"** trên mạng **"Arbitrum(ARB)"** đã bị tấn công, nhiều khả năng liên quan tới việc rò rỉ *khóa cá nhân* của bên ký dữ liệu **"oracle"**. Vụ việc khiến bài toán an toàn của thị trường phái sinh phi tập trung tiếp tục bị đặt dấu hỏi.
Các công ty bảo mật tiền mã hóa ước tính tổng thiệt hại trong vụ hack Ostium dao động từ 18 triệu đến hơn 23 triệu đô la Mỹ. Ngay sau khi phát hiện sự cố, Ostium thông báo trên tài khoản X chính thức rằng **"OLP vault"** của giao thức đang gặp “vấn đề”.
Ostium là nền tảng giao dịch hợp đồng vĩnh viễn cho cổ phiếu, hàng hóa và tỷ giá, vận hành trên mạng **"Arbitrum(ARB)"**. Ngay trước khi xảy ra vụ tấn công, dữ liệu từ DeFiLlama cho thấy giao thức đang nắm giữ khoảng 63 triệu đô la tài sản. Trong đó, **"OLP vault"** đóng vai trò lớp thanh toán: người dùng gửi **"USDC"** vào đây để mở vị thế giao dịch phái sinh.
Công ty bảo mật **"Dcurity"** phân tích kẻ tấn công đã tạo ra mức giá có lợi cho mình, tự ký xác nhận rồi đẩy dữ liệu này lên **"oracle"**. Khi hệ thống chấp nhận mức giá sai lệch, hacker mở vị thế và ngay lập tức đóng lại để chốt lời. Với chiến thuật này, khoảng 11,86 triệu **"USDC"** đã bị rút khỏi Ostium vault.
*bình luận* Về bản chất, đây là dạng tấn công thao túng giá thông qua **"oracle"**, nhưng trọng tâm nằm ở khả năng *khóa ký oracle* bị lộ, cho phép hacker đưa dữ liệu sai vào hệ thống mà vẫn vượt qua được cơ chế xác thực.
Sự cố Ostium càng làm gia tăng lo ngại về an ninh trong mảng **"DeFi"**. Chỉ 4 ngày trước đó, giao thức Bonzo Finance trên mạng **"Hedera(HBAR)"** đã bị khai thác lỗ hổng giá **"oracle"**, gây thiệt hại khoảng 9 triệu đô la. Tuần trước nữa, Summer Finance đối mặt với vụ thao túng giá trị khoảng 6 triệu đô la và sau đó tuyên bố gần như đóng cửa hoạt động.
Trong 6 tháng đầu năm, tổng thiệt hại trong lĩnh vực **"DeFi"** được ghi nhận qua 87 vụ việc, vượt mốc 900 triệu đô la Mỹ. Hơn 80% con số này xuất phát từ rò rỉ *khóa cá nhân* hoặc tấn công vào các *cầu nối (bridge)* giữa các mạng lưới. Với tiền lệ trước đó, Ủy ban bảo mật Arbitrum từng đóng băng hơn 70 triệu đô la liên quan tới một vụ rút tiền trái phép quy mô lớn. Giới quan sát đang chờ xem vụ Ostium trên **"Arbitrum(ARB)"** có được xử lý bằng biện pháp phong tỏa tương tự hay không.
*bình luận* Vụ Ostium cho thấy rủi ro không chỉ đến từ smart contract, mà còn từ toàn bộ chuỗi hạ tầng phụ trợ như **"oracle"**, hệ thống ký dữ liệu và quản lý *khóa riêng*. Đối với các nền tảng phái sinh phi tập trung, việc bảo vệ các thành phần này có thể quan trọng không kém bản thân hợp đồng thông minh cốt lõi.
Bình luận 0