2026년 7월 15일, Arbitrum 네트워크에서 실물자산(RWA) 영구선물 거래를 지원하는 탈중앙화 거래소(DEX) 오스티움(Ostium) 이 대규모 해킹 사고를 당했다 . 공격자는 프로토콜의 오라클 서명자 프라이빗 키를 탈취해 가격 데이터를 조작했고, 그 결과 OLP(Ostium Liquidity Provider) 볼트에서 실제 USDC가 빠져나갔다. 오스티움은 즉시 모든 거래를 중단했다
. 손실 규모는 소식통에 따라 1200만~2200만 달러로 추정되며, 대부분의 보도는 약 1800만 달러를 공통된 수치로 제시한다
. 이 사건은 2026년 DeFi 생태계를 강타한 '키 탈취' 공격의 전형적인 사례로 기록될 전망이다.
블록체인 보안 업체 Blockaid가 온체인에서 이번 공격을 가장 먼저 포착했다. Blockaid는 공격자가 탈취한 USDC를 Kyber를 통해 ETH로 스왑하기 시작했다고 전했다 . 공격은 다음 세 단계로 진행됐다.
CertiK는 손실 규모를 약 2200만 달러로 추정하며 Blockaid와 다른 의견을 제시했지만, 두 업체 모두 공격 원인이 오스티움의 오라클 시스템 손상에 있다는 점에 동의했다 .
사용된 기준선에 따라 수치가 다르며, 소식통들은 다음과 같은 다양한 데이터를 제시한다:
가장 자주 인용되는 수치는 프로토콜의 3400만 달러 이상 규모 재무부 중 약 35% 이다 .
오스티움은 General Catalyst와 Jump Crypto를 포함한 투자자들로부터 약 2780만 달러를 조달했다 . 더 이전의 펀딩 라운드도 있었지만, 이번 해킹 사고와 관련해 구체적으로 언급된 기관 투자자는 이 두 곳이다
.
오스티움 해킹은 새로운 스마트 계약 취약점을 이용한 공격이 아니다. 이는 프라이빗 키 자격 증명을 탈취해 신뢰받는 가격 피드 메커니즘을 조작한 전형적인 사례다. 이는 2026년 지배적인 공격 패턴과 정확히 일치한다:
DeFiLlama 데이터에 따르면, 블록체인 프로젝트는 해킹과 익스플로잇을 통해 역사적으로 약 166억 9000만 달러를 손실했으며, 그중 약 40%가 프라이빗 키 손상으로 인한 것이었다 . 누적 기준으로, 지난 10년간 518건의 기록된 프라이빗 키 사건을 통해 170억 달러 이상이 도난당했다
.
결론적으로, 오스티움 해킹은 공격자들이 코드를 공격하는 것에서 키를 훔치는 쪽으로 방향을 전환했음을 보여주는 교과서적인 사례다. 소수의 키 손상 사건이 전체 손실에서 불균형적으로 큰 비중을 차지하는 현실에서 , DeFi 프로토콜에게 스마트 계약 감사만으로는 더 이상 충분하지 않다. 오라클 서명자 키와 같은 특권 자격 증명을 보호하는 것이 새로운 최전선이 되고 있다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
7월 15일, Arbitrum 기반 RWA 영구선물 DEX 오스티움이 오라클 서명자 프라이빗 키 탈취 공격을 받아 OLP 유동성 볼트에서 약 1800만 USDC 손실
7월 15일, Arbitrum 기반 RWA 영구선물 DEX 오스티움이 오라클 서명자 프라이빗 키 탈취 공격을 받아 OLP 유동성 볼트에서 약 1800만 USDC 손실 공격자는 탈취한 키로 Gelato 네트워크의 PriceUpkeep 포워더를 통해 미래 날짜의 유리한 가격 데이터를 제출, 약 20회의 위임 거래를 반복하며 가상 수익을 현금화
보안 업체 Blockaid가 최초 탐지, CertiK는 손실액을 약 2200만 달러로 추정…프로토콜 전체 TVL(약 6300만 달러)의 약 28% 손실