2026年7月15日、Arbitrum上で展開する現実資産(RWA)のパーペチュアルDEXであるOstiumが、オラクル攻撃により約1800万USDC(約1800万ドル相当)の流出被害を受けました。攻撃者はプロトコル内の価格報告インフラを悪用し、検証チェックをバイパスして偽造された未来の日付の価格データを送信したとされています。この事件は、DeFi(分散型金融)セクターにおいてオラクルを標的とした攻撃が続く中で発生しており、価格インフラのセキュリティ管理の重要性を改めて浮き彫りにしています。
事件の概要と被害状況
Arbitrum(イーサリアムのレイヤー2ソリューションとされています)をベースとする、RWA(現実世界の資産を指すReal-World Assetsとされています)のパーペチュアル(無期限先物とされています)取引プラットフォーム「Ostium」において、オラクル署名者のキーが侵害されるハッキング事件が発生しました。
このエクスプロイト(脆弱性攻撃)により、同プラットフォームから約1800万USDCが流出したことが確認されています。攻撃者はプロトコル独自のインフラを逆手に取り、多額の資金を詐取することに成功しました。
攻撃の手口と技術的な背景
今回の攻撃の根本的な原因は、オラクル(ブロックチェーン外のデータをオンチェーンに送信する仕組みとされています)署名者のプライベートキー(秘密鍵)が侵害されたことにあります。
攻撃者はこの侵害された秘密鍵を利用して検証チェックをバイパスし、通常ではあり得ない「未来の日付の偽造された価格データ」を送信して、自身に極めて有利な価格を設定しました。
その後、委任されたアクションを通じて約20回にわたりポジションのオープンとクローズを繰り返すループ取引を即座に実行しました。これにより、攻撃者は実際の市場リスクにさらされることなく、プロトコルから約1800万ドルにのぼる不正な取引利益を発生させ、流出を引き起こしたとされています。
DeFiおよびRWAプラットフォームへの影響
Ostiumは、株式やコモディティ、外国為替などの現実資産を対象とした合成資産のパーペチュアル取引を提供する代表的なDEX(分散型取引所とされています)です。このようなプラットフォームは、正確な資産価格を反映させるために外部価格データを提供するオラクルシステムに強く依存しています。
今回の事件は、DeFiセクターにおいて現在も続いている一連のオラクル攻撃の波の一つと位置づけられています。秘密鍵の徹底した管理や、送信されるオラクルデータの検証プロセスの堅牢性が、RWA取引プラットフォームの安全性と信頼性を担保する上でいかに重要であるかを改めて示す事例となりました。
ポイント
- ArbitrumのRWAパーペチュアルDEXであるOstiumがオラクル攻撃を受け、約1800万USDC(約1800万ドル)の流出被害が発生した点。
- 攻撃の根本原因が、外部の価格データをシステムに反映させるオラクル署名者のプライベートキー(秘密鍵)の侵害にあった点。
- 攻撃者が検証をバイパスし、未来の日付の偽造価格データを送信して有利な価格を不正に設定した点。
- 委任されたアクションによる約20回のループ取引を即座に実行し、市場リスクを負うことなくプロトコルから多額の資金を詐取した点。
- DeFiセクターにおいてオラクルを狙った攻撃が継続しており、価格報告インフラのセキュリティおよび鍵管理の厳格化がプラットフォーム運営において極めて重要であることを示した点。