Arbitrum ağında faaliyet gösteren merkeziyetsiz türev platformu Ostium, fiyat verisi altyapısına yönelik bir saldırı sonrası yaklaşık 18 milyon USDC kaybetti. Zincir üstü veriler ve Blockaid’in tespitleri, saldırganın protokolün kayıtlı bir bileşenini kullanarak sahte oracle raporları gönderdiğini gösterdi.
Saldırının yöntemi
Blockaid, saldırganın Ostium’un otomatik fiyat aktarım sisteminde kayıtlı bir PriceUpKeep forwarder bileşeninden yararlandığını açıkladı. Gönderilen oracle raporlarında ileri tarihli zaman damgaları kullanıldı ve bu sayede zarardaki işlemler kardaymış gibi gösterildi. Bu mekanizma, protokol kasasından 18 milyon USDC ödeme yapılmasını tetikledi.
Blockaid, ileri tarihli zaman damgaları içeren manipüle edilmiş oracle raporlarının işlemleri karlı göstermesi sonucu kasadan 18 milyon USDC çıktığını bildirdi.
Ostium, emtia, döviz ve hisse endeksi gibi gerçek dünya varlıklarında sürekli vadeli işlem sunan bir Arbitrum platformu olarak biliniyor. İşlemler USDC ile sonuçlandırılıyor ve platformda 200 kata kadar kaldıraç sunuluyor.
Mini sözlük: Oracle, blokzincir dışındaki fiyat gibi verileri akıllı sözleşmelere taşıyan sistemdir. Keeper ise belirli koşullar oluştuğunda bu veriyi zincire yazan veya işlemi tetikleyen otomasyon bileşenini ifade eder.
Fiyat altyapısındaki zafiyet öne çıktı
Ostium, gerçek dünya varlıklarının fiyatlarını izlemek için özel bir fiyat besleme sistemi kullanıyor. Bu yapıda Gelato adlı üçüncü taraf otomasyon ağı, gerekli anlarda fiyat verilerini zincire taşımaktan sorumlu. Sürecin merkezinde yer alan PriceUpKeep akıllı sözleşmesi ise bir işlemin yürütülmesi gerektiğinde son fiyat bilgisini blokzincire yazan tetikleyici görevini üstleniyor.
Saldırının, DeFi alanında son yıllarda görülen oracle ve keeper sistemi açıklarıyla benzerlik taşıdığı değerlendiriliyor. Geçen hafta Summer.fi platformunda yaşanan ve 6 milyon dolarlık kayıpla sonuçlanan olay da benzer bir risk başlığını gündeme getirmişti. Bu tür vakalarda saldırganlar, ayrıcalıklı rollere erişim sağlayıp fiyat verisinin zamanlamasını veya içeriğini değiştirerek likidite havuzlarından fon çekebiliyor.
Ostium’un otomasyon zincirindeki kayıtlı bir bileşenin kötüye kullanılması, fiyat verisinin zamanlamasının ne kadar kritik olduğunu yeniden ortaya koydu.
Ostium’un ölçeği ve geçmişi
Ostium, saldırı öncesinde önemli bir büyüklüğe ulaşmıştı. Platform toplam 27,8 milyon dolar yatırım toplamıştı. Bunun 24 milyon dolarlık Seri A turuna, 2025’in sonlarında General Catalyst ile Jump Crypto eş liderlik etmişti.
İşlem hacmi tarafında da dikkat çekici bir tablo vardı. Ostium’un kümülatif işlem hacmi 50 milyar doların üzerine çıkmıştı. Bu veri, saldırının yalnızca tek bir protokolü değil, gerçek dünya varlıklarını zincir üstüne taşıyan daha geniş DeFi altyapısını da yeniden tartışmaya açtığını gösteriyor.




