
Blockaidが約1,800万USDC流出を検知
分散型取引所(DEX)「オスティウム(Ostium)」において、約1,800万USDC(約29.2億円)が攻撃者によって引き出されるセキュリティインシデントを検知したと、ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が7月15日に公表した。
オスティウムは、アービトラム(Arbitrum)上で現実資産(RWA)対象のパーペチュアル(無期限先物)取引を提供する分散型取引所(DEX)だ。株式やETF、株価指数、外国為替(FX)、コモディティなどの価格変動を対象とした取引が行える。
ブロックエイドによる公表後、オスティウム共同創業者のカレドラ(kaledora)氏およびオスティウム公式Xアカウントは、流動性プール「OLPボールト(OLP Vault)」でセキュリティインシデントが発生したことを認めた。公式Xアカウントによると、同プロトコルは取引を停止しており、法執行機関やセキュリティインシデント対応組織「SEAL 911」、外部セキュリティ企業と連携して原因究明と流出資金の追跡を進めているとのことだ。
今回被害を受けたOLPボールトは、流動性提供者がUSDCを預け入れ、OLPトークンを受け取るプール。取引の決済資金を保管する役割を担う。利益が発生した取引への支払いも同ボールトから行われるため、攻撃者は架空の取引利益をシステムに認識させることで、不正な支払いを受けていたとブロックエイドは説明している。
ブロックエイドによると今回の攻撃では、オラクルから受け取った価格情報をブロックチェーンへ反映する仕組みが悪用され、本来存在しない取引利益が生成されたという。具体的には、登録済みの「プライスアップキープ・フォワーダー(PriceUpKeep forwarder)」と、将来のタイムスタンプが付された認証済みオラクルレポート(future-dated authorized oracle reports)が利用されたとのことだ。
オラクルは、ブロックチェーンへ外部の価格情報を配信する仕組みだ。PriceUpKeepは、その価格情報の更新処理を自動で実行するプロセスの一部を担う。
価格オラクルを提供するレッドストーン(RedStone)共同創業者のマルチン・カジミェルチャク(Marcin Kazmierczak)氏は、自身のXアカウントで、利用された価格データはいずれも正しく電子署名されていたと説明した。そのうえで同氏は、オラクル自体ではなく、特権を持つ署名キーやキーパー(keeper)権限が悪用された可能性があると分析している。
またデルファイ・コンサルティング(Delphi Consulting)のテンペスト(tempest)氏も、今回のインシデントはフラッシュローンを利用した価格操作ではなく、オラクル関連インフラの権限悪用によるものとの見方を示した。
オスティウム公式Xアカウントは、取引停止中も既存ポジションは維持されている一方、新規取引やポジション変更はできない状態が続いていると説明した。証拠金は凍結された取引コントラクト内に保管されているとのことだ。取引再開時期や流出資金の回収状況については、調査の進展に応じて改めて公表するとのことだ。
— Blockaid (@blockaid_) July 15, 2026
Blockaid detected an @Ostium Vault exploit on Arbitrum.
An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in
This morning, between 14:18–14:23 UTC, Ostium experienced a security issue leading to a loss of funds from the public OLP vault. Our team identified the issue within minutes and immediately began taking steps to contain it, including coordinating to pause trading contracts within…
— kaledora (@kaledora) July 15, 2026
A Security Update: Trading remains paused following the security incident. User positions remain open and unmodifiable, and trader margin remains unmoved in frozen trading smart contracts. The team will continue to provide updates as they become available regarding a timeline…
— Ostium (@Ostium) July 16, 2026
参考:マルチン・カジミェルチャク氏(X)・テンペスト氏(X)
画像:PIXTA
関連ニュース
- カルダノの「SecondFi」でセキュリティインシデント、約1600万ADA流出
- Ekuboでセキュリティインシデント発生、約140万ドル流出報告
- エコープロトコルのMonadデプロイメントでインシデント、管理者キー侵害が原因
- DeFiプロトコル「Summer[.]fi」で約600万ドル流出、全ボールトを一時停止
- 【取材追記】スイのレンディング「Scallop」でインシデント発生、約15万SUIが不正流出
参照元:ニュース – あたらしい経済
Blockaid detected an 


コメント