2026년 7월 15일 수요일 15:27
Ostium, 오라클 공격으로 1,800만 달러 손실
코인데스크

- 공격자는 Ostium의 가격 피드 자동화 시스템의 등록된 구성 요소를 악용하여 조작된 미래 타임스탬프가 포함된 오라클 보고서를 제출, 손실 거래를 수익성 있는 것으로 보이게 만들어 프로토콜의 금고에서 1,800만 달러의 USDC 지급을 유도했습니다.
- 이번 공격은 지난주 Summer.fi에서 600만 달러가 유출된 것을 포함하여 DeFi에서 발생한 유사한 키퍼 및 오라클 공격의 연속으로, 온체인에서 실제 가격 데이터를 가져오는 자동화된 인프라의 지속적인 취약성을 강조합니다.
- Ostium은 금, 외환, 주가지수와 같은 실물 자산에 중점을 둔 Arbitrum의 영구 거래소로, 사건 이전에 2,780만 달러의 자금을 조달하고 500억 달러 이상의 거래량을 처리했습니다.
공격자는 블록체인 보안 회사 Blockaid에 의해 탐지된 오라클 조작 공격에서 Arbitrum의 Ostium 유동성 금고에서 약 1,800만 달러의 USDC를 유출했습니다. 온체인 데이터가 이를 보여줍니다.
Blockaid의 경고에 따르면, 공격자는 Ostium의 자동화 인프라의 구성 요소인 등록된 PriceUpKeep 포워더를 활용하여 미래 날짜의 타임스탬프가 포함된 오라클 가격 보고서를 제출했습니다. 조작된 보고서는 수익성 있는 거래의 모습을 만들어내어 금고에서 1,800만 달러의 USDC 지급을 유도했습니다.
Ostium은 Arbitrum의 탈중앙화 영구 거래소로, 사용자가 상품, 외환, 주가지수 등 실물 자산을 최대 200배 레버리지로 거래할 수 있으며, USDC로 결제됩니다.
Ostium은 실물 자산 가격을 추적하기 위해 맞춤형 가격 피드 시스템을 사용하며, Gelato라는 서드파티 자동화 네트워크가 적절한 시점에 그 가격을 온체인으로 전송하는 역할을 담당합니다. PriceUpKeep이라는 스마트 계약은 그 과정의 중심에 위치하여 거래가 실행될 때마다 최신 가격 데이터를 블록체인에 기록하는 트리거 역할을 합니다.
이번 공격은 최근 몇 년간 DeFi 전반에서 발생한 오라클 및 키퍼 시스템 공격 패턴과 일치하며, 최근에는 Summer.fi에서 600만 달러가 유출되었습니다. 이 공격은 공격자가 특권 역할에 접근하여 가격 데이터의 타이밍이나 내용을 조작해 유동성 풀에서 자금을 추출하는 방식입니다.
Ostium은 총 2,780만 달러의 자금을 조달했으며, 2025년 말 General Catalyst와 Jump Crypto가 공동 주도한 2,400만 달러의 시리즈 A를 포함합니다. 또한 누적 거래량 500억 달러 이상을 처리했습니다.
Copyrights ⓒ BLOCKCHAINSEOUL. 무단 전재 및 재배포 금지