Платформа для торговли бессрочными контрактами на блокчейне Ostium сообщила, что пятиминутный инцидент безопасности привел к потерям из ее публичного пула ликвидности. Специалисты по безопасности оценили ущерб от эксплойта в сумму до $24 млн.
Соосновательница Каледора Кирнан-Линн подтвердила, что проблема длилась с 14:18 до 14:23 UTC 15 июля и затронула публичный пул Ostium Liquidity Provider (OLP). Она заявила, что команда выявила ее в течение нескольких минут и скоординировала приостановку торгов в течение часа. В заявлении не были указаны окончательная сумма потерь, первопричина или окончательный анализ произошедшего.
Специалисты по безопасности заявили, что в центре инцидента находились авторизованные данные, а не отсутствующая подпись. Blockaid и Cyvers сообщили, что зарегистрированный форвардер PriceUpKeep передавал датированные будущим числом и авторизованные отчеты оракулов, которые создавали искусственную торговую прибыль.
SlowMist заявил, что авторизованный подписант предоставил действительные подписанные манипулированные данные, которые использовались для многократных прибыльных сделок. Эти описания остаются выводами третьих сторон до публикации отчета Ostium.
Криптографическая аутентификация может установить, что разрешенный ключ подписал отчет. Правдоподобие цены, свежесть временной метки и безопасность расчетов требуют отдельных средств контроля.
Код OstiumVerifier, связанный из документации по безопасности Ostium, восстанавливает подписанта ECDSA и проверяет, авторизован ли подписант, но эта функция верификатора не применяет проверку правдоподобия цен или ограничение по временной метке.
Код не позволяет определить, какая реализация была активна во время инцидента и применяли ли эти проверки отдельные контракты. Любые средства защиты от временных меток, повторного воспроизведения, отклонения цен или множественных источников должны были бы работать в другом месте пути выполнения.
Документация протокола Ostium гласит, что пул OLP хранит залоговые средства трейдеров и немедленно выплачивает выигрышные сделки в сети. Если искусственная прибыль была принята к расчету, ликвидность пула обеспечивала выплаты.

Опубликованные оценки росли по мере продолжения трассировки. Blockaid оценил выплату примерно в $18 млн, Cyvers — в $23,7 млн, а PeckShield позже описал вывод примерно $24 млн.
Более низкая цифра SlowMist в $11,86 млн, по-видимому, отслеживает один отток из пула в размере 11 862 444,782 USDC, видимый в указанной транзакции.
PeckShield сообщил, что извлеченные USDC были обменены на 12 080 ETH, и к моменту его обновления 10 540 ETH достигли Tornado Cash. Кирнан-Линн заявила, что Ostium работает с правоохранительными органами, SEAL 911 и сторонними специалистами по безопасности.
Механика отличает Ostium от аналогичной проблемы с Bonzo Lend, кредитором на Hedera, пострадавшим четырьмя днями ранее. Отчет об инциденте Bonzo указал, что его верификатор принял доказательство, не содержащее действительной подписи. В случае Ostium специалисты по безопасности утверждают, что отчеты прошли через путь авторизованного подписанта: аутентификация прошла успешно, но данные предположительно были небезопасны.
Ostium еще предстоит установить, был ли скомпрометирован ключ подписанта, действовал ли авторизованный оператор злонамеренно или был использован другой привилегированный путь.
Его меры по устранению будут оцениваться по тому, смогут ли изоляция подписанта, строгие границы временных меток, независимые проверки цен, лимиты ставок и автоматические выключатели предотвратить превращение одного доверенного пути нескольких минут плохих данных в очередную выплату из пула.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Liam 'Akiba' Wright




