دادههای درونزنجیرهای نشان میدهند که یک مهاجم در جریان یک سوءاستفاده (اکسپلویت) از طریق دستکاری اوراکل، تقریباً ۱۸ میلیون دلار یواسدیسی (USDC) را از استخر نقدینگی پلتفرم «آستیوم» (Ostium) روی شبکه آربیتروم خارج کرده است. این حمله توسط شرکت امنیت بلاکچین «بلاکاید» (Blockaid) شناسایی شد.
طبق هشدار بلاکاید، مهاجم با استفاده از یک هدایتکننده (Forwarder) ثبتشده به نام PriceUpKeep که جزئی از زیرساخت خودکار آستیوم است، گزارشهای قیمت اوراکل را با برچسبهای زمانی مربوط به آینده ارسال کرده است. این گزارشهای دستکاریشده، معاملات را به ظاهر سودده نشان دادند و همین امر باعث شد که پرداخت ۱۸ میلیون دلار یواسدیسی از این استخر نقدینگی کلید بخورد.
آستیوم یک صرافی غیرمتمرکز معاملات پرپچوال (بدون انقضا) روی شبکه آربیتروم است که به کاربران اجازه میدهد داراییهای دنیای واقعی از جمله کالاها، فارکس و شاخصهای سهام را با اهرم (لوریج) تا ۲۰۰ برابر معامله کنند. تسویه این معاملات نیز با یواسدیسی انجام میشود.
آستیوم برای ردیابی قیمت داراییهای دنیای واقعی از یک سیستم فید قیمت اختصاصی استفاده میکند و یک شبکه اتوماسیون شخص ثالث به نام «جلاتو» (Gelato) مسئولیت ثبت این قیمتها را به صورت درونزنجیرهای در زمانهای مناسب بر عهده دارد. یک قرارداد هوشمند به نام PriceUpKeep در مرکز این فرآیند قرار دارد و هر زمان که نیاز به اجرای یک معامله باشد، مانند یک محرک عمل کرده و آخرین دادههای قیمت را روی بلاکچین مینویسد.
این حمله با الگوی سوءاستفاده از سیستمهای اوراکل و کیپر (Keeper) که در سالهای اخیر در سراسر حوزه دیفای (DeFi) مشاهده شده، همخوانی دارد؛ جدیدترین نمونه از این حملات، هفته گذشته رخ داد که طی آن ۶ میلیون دلار از پلتفرم Summer.fi به سرقت رفت. در این نوع اکسپلویتها، مهاجمان به نقشهای دارای دسترسیهای خاص دست مییابند و با دستکاری زمانبندی یا محتوای دادههای قیمت، داراییها را از استخرهای نقدینگی خارج میکنند.
آستیوم در مجموع ۲۷.۸ میلیون دلار سرمایه جذب کرده بود که شامل یک دور تامین مالی سری A به ارزش ۲۴ میلیون دلار در اواخر سال ۲۰۲۵ به رهبری مشترک شرکتهای General Catalyst و Jump Crypto میشد. این پلتفرم همچنین تا پیش از این، بیش از ۵۰ میلیارد دلار حجم معاملات انباشته را پردازش کرده بود.
منبع: Coindesk
