暗号資産(仮想通貨)デリバティブプロトコルのOstium(オスティウム)は16日、パブリックOLP Vaultでセキュリティインシデントが発生し、資金が流出したことを明らかにした。報告によると、インシデントは15日14時18分から14時23分(日本時間同日23時18分から23時23分)の間に発生したという。
今回のインシデントは、オスティウムの構築メンバーであるkaledora氏がXで報告した。同氏によると、チームは問題を数分以内に特定し、発生から1時間以内に取引コントラクトの停止に向けた対応を進めたとしている。
kaledora氏は、法執行機関やセキュリティ対応組織「SEAL 911」、第三者のサイバーセキュリティ専門家と連携して現在調査を進めていると説明。あわせて、迅速に協力したステーブルコイン発行体やブリッジ、各種プロトコル、セキュリティ関係者に感謝の意を示した。
オスティウムは調査が進むまでの予防措置として、同プロトコルのコントラクトに付与したトークンの承認(approval)を一時的に取り消すようユーザーに推奨している。
手口はオラクル署名者の悪用、操作された価格データを送信
ブロックチェーンセキュリティ企業のスローミストは16日、今回のインシデントの根本原因についてXで分析を公開した。
同社によると、認可されたオラクル署名者が登録済みのフォワーダーを通じて不正な価格レポートを送信した。有効に署名されているものの操作された価格データが、オラクルの検証機構に受け入れられたという。攻撃者は人為的に有利な価格で建玉と決済を繰り返すことで架空の利益を生み出し、Vaultから資金を引き出したと指摘している。
スローミストは、脆弱性のあるコントラクトとして「OstiumPrivatePriceUpKeep」の実装と「OstiumVerifier」を挙げている。
流出額の推計は約19.2億〜38.5億円、分析主体で見方が分かれる
流出額については、分析主体によって推計が大きく異なる。
スローミストは、単一のトランザクションを対象に約1,186万USDC(約19.2億円)と算出した。セキュリティ企業のDecurityも、一例として挙げたトランザクションから同水準の数字を示している。一方、インシデントを最初に検知したブロックエイドは約1,800万USDC(約29.2億円)、サーティックは約2,200万ドル(約35.6億円)と推計する。オンチェーン分析家のEmberCN氏は、これらを上回る約2,375万USDC(約38.5億円)との見方を示した。
一部報道では、攻撃時のオスティウムのTVL(預かり資産)は約6,300万ドル(約102.1億円)とされている。各社の推計額は、その約1.9割から3.8割にあたる計算だ。
流出資金はETHへ交換、トルネードキャッシュ経由で移動
オスティウム側の報告に先立ち、EmberCN氏は同日、攻撃者の資金移動を追跡した結果をXで公開した。同氏は、攻撃者についてDeBank上で「musti_akrep」のユーザー名を使用するアドレスだと指摘している。
EmberCN氏によると、流出したUSDCは約12,085ETHへ交換されたという。その後、ETHの大部分がミキシングサービス「トルネードキャッシュ」を通じて移動されたと報告した。この数量は、同氏が示す約2,375万USDCという流出額の推計に基づくものだ。
オスティウムは執筆時点で、インシデントの原因や流出額の詳細について公表していない。今後は調査結果や追加の技術情報、利用者資金や未決済ポジションへの対応が焦点となりそうだ。
関連:サマーファイナンスがハッキング被害──フラッシュローン悪用で約9.7億円流出
関連:暗号資産ハッキング、秘密鍵流出が46%超──コードでなく「鍵」が標的に
※価格は執筆時点でのレート換算(1ドル=162.0円)



