เมื่อวันที่ 15 กรกฎาคม 2026 Ostium กระดานเทรด perpetual DEX สำหรับสินทรัพย์โลกจริง (RWA) บน Arbitrum ถูกโจมตีผ่าน Oracle จนคลังสภาพคล่อง OLP (Ostium Liquidity Pool) สูญเสียเงินจำนวนมาก และต้องหยุดการเทรดทั้งหมดทันที
แฮกเกอร์เจาะ คีย์ส่วนตัวของ Oracle Signer ซึ่งเป็นเครดิตที่ได้รับอนุญาตให้ยืนยันข้อมูลราคา แล้วใช้คีย์นี้เพื่อส่ง ข้อมูลราคาที่เป็นเท็จในวันที่ในอนาคต ผ่านสัญญา PriceUpkeep forwarder ที่ถูกลงทะเบียนไว้บนเครือข่าย Gelato หลังจากนั้นก็ทำการเทรดแบบ delegated trade แบบวนซ้ำประมาณ 20 รอบ โดยเปิดและปิดออเดอร์ที่ราคาปลอมเหล่านั้น เพื่อสร้างกำไร虚构
สุดท้าย คลังของโปรโตคอลก็จ่ายผลกำไรปลอมเหล่านั้นออกมาเป็น USDC จริงให้กับแฮกเกอร์
บริษัทความปลอดภัย Blockchain อย่าง Blockaid เป็นรายแรกที่ตรวจพบการโจมตีบนเชน และยืนยันว่าแฮกเกอร์เริ่มสวอป USDC ที่ขโมยมาเป็น ETH ผ่าน Kyber ทันที ประมาณการความเสียหายจากหลายแหล่งอยู่ระหว่าง $12 ล้านถึง $22 ล้าน โดยส่วนใหญ่รายงานที่ตัวเลข ~$18 ล้าน
Blockaid ประมาณการไว้ที่ประมาณ $18 ล้าน ขณะที่ CertiK วางตัวเลขไว้ที่ประมาณ $22 ล้าน
เปอร์เซ็นต์ความเสียหายขึ้นอยู่กับฐานที่ใช้วัด:
ตัวเลขที่ถูกอ้างถึงบ่อยที่สุดคือ ประมาณ 35% ของ Treasury/กองทุนมูลค่า $34+ ล้านของโปรโตคอล
Ostium ระดมทุนได้ประมาณ $27.8 ล้าน จากนักลงทุนรวมถึง General Catalyst และ Jump Crypto
การโจมตี Ostium ไม่ใช่ช่องโหว่ของ Smart Contract แบบใหม่ แต่คือ การขโมยข้อมูลประจำตัว (Private Key) เพื่อนำไปจัดการกลไกราคาที่เชื่อถือได้ ซึ่งจัดอยู่ในรูปแบบการโจมตีหลักของปี 2026:
จากข้อมูลของ DeFiLlama โปรเจกต์ Blockchain สูญเสียรวมประมาณ $16.69 พันล้าน จากการแฮ็ก โดยราว 40% ของความเสียหายทั้งหมดมาจากการขโมย Private Key และมูลค่าสะสมกว่า $17 พันล้าน ถูกขโมยจากเหตุการณ์ขโมย Private Key ที่บันทึกไว้ทั้งหมด 518 ครั้งในช่วงสิบปี
ประเด็นสำคัญ: การโจมตี Ostium เป็นกรณีศึกษาแบบคลาสสิกที่แฮกเกอร์เปลี่ยนจากการหาช่องโหว่ในโค้ดมาเป็นการขโมยคีย์ โดยเหตุการณ์ขโมยคีย์เพียงไม่กี่ครั้งกลับสร้างความเสียหายในสัดส่วนที่สูงเกินสัดส่วน สำหรับโปรโตคอล DeFi การตรวจสอบ Smart Contract อย่างเดียวไม่เพียงพออีกต่อไป การรักษาความปลอดภัยของคีย์ Oracle Signer และข้อมูลประจำตัวที่ได้รับสิทธิพิเศษอื่นๆ กลายเป็นแนวหน้าใหม่ของการป้องกัน
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ostium กระดานเทรด Perpetual DEX สินทรัพย์จริง (RWA) บน Arbitrum ถูกโจมตีเมื่อ 15 กรกฎาคม 2026 สูญเสียประมาณ $18M จากคลัง OLP
Ostium กระดานเทรด Perpetual DEX สินทรัพย์จริง (RWA) บน Arbitrum ถูกโจมตีเมื่อ 15 กรกฎาคม 2026 สูญเสียประมาณ $18M จากคลัง OLP แฮกเกอร์เจาะคีย์ส่วนตัวของ Oracle Signer ที่ได้รับอนุญาตให้ส่งข้อมูลราคา ส่งรายงานราคาที่เป็นเท็จในวันที่ในอนาคตผ่าน PriceUpkeep forwarder
ดำเนินการเทรดแบบ delegated trade ประมาณ 20 ครั้งเพื่อสร้างกำไรปลอม ก่อนถอน USDC จริงออกจากคลังของโปรโตคอล