Công ty bảo mật blockchain Blockaid là đơn vị đầu tiên phát hiện vụ khai thác trên chuỗi, lưu ý rằng kẻ tấn công đã bắt đầu chuyển đổi USDC bị đánh cắp thành ETH qua Kyber ngay sau cuộc tấn công . Cuộc tấn công diễn ra theo ba bước:
Các ước tính thiệt hại từ các nguồn dao động từ 12 triệu USD đến 22 triệu USD, với hầu hết các báo cáo đều đưa ra con số khoảng 18 triệu USD . Blockaid ước tính thiệt hại khoảng 18 triệu USD, trong khi CertiK đưa ra con số khoảng 22 triệu USD; cả hai công ty đều cho rằng sự cố này là do sự thỏa hiệp của hệ thống oracle của Ostium
.
Tỷ lệ phần trăm phụ thuộc vào cơ sở được sử dụng và các nguồn đưa ra các con số khác nhau:
Ostium đã huy động được khoảng 27,8 triệu USD từ các nhà đầu tư bao gồm General Catalyst và Jump Crypto . Các vòng gọi vốn trước đó cũng đã được báo cáo, nhưng General Catalyst và Jump Crypto là hai tổ chức đầu tư có tên tuổi được đề cập liên quan đến vụ khai thác này
.
Vụ khai thác Ostium không phải là một lỗ hổng hợp đồng thông minh mới — đó là một vụ đánh cắp thông tin xác thực khóa riêng được sử dụng để thao túng một cơ chế nguồn cấp dữ liệu giá đáng tin cậy. Điều này đặt nó ngay trong khuôn mẫu tấn công thống trị năm 2026:
Blockchain projects đã mất tổng cộng khoảng 16,69 tỷ USD do hack và khai thác, với khoảng 40% trong số đó là do thỏa hiệp khóa riêng . Trong vòng 10 năm, hơn 17 tỷ USD đã bị đánh cắp qua 518 vụ việc khóa riêng được ghi nhận
.
Kết luận: vụ khai thác Ostium là một ví dụ điển hình về việc kẻ tấn công chuyển từ khai thác mã sang đánh cắp khóa, nơi một số lượng nhỏ các vụ thỏa hiệp khóa gây ra một phần tổn thất không tương xứng . Đối với các giao thức DeFi, việc kiểm toán hợp đồng thông minh là chưa đủ — bảo vệ khóa ký oracle và các thông tin xác thực đặc quyền khác đã trở thành tuyến phòng thủ mới.