Ostiumがオラクル攻撃で1800万ドル流出、DeFiの価格参照基盤は主要な攻撃面として再検証を迫られる

Last Updated on 2026年7月16日 by oba3

分散型デリバティブ取引プロトコルのオスティウム(Ostium)で、オラクル攻撃により約1800万ドル相当のユーエスディーコイン(USD Coin・USDC)が流出した。コインデスク(CoinDesk)は2026年7月15日、ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)の検知情報とオンチェーンデータをもとに、攻撃者がアービトラム(Arbitrum)上のオスティアム流動性ボールトから資金を引き出したと報じた。

今回の攻撃は、単純なスマートコントラクトのバグというより、価格参照と自動レポート処理の仕組みを悪用したものとされる。攻撃者は、オスティアムの価格フィード自動化システムに関わる登録済みコンポーネントを利用し、未来時刻を含む不正なオラクル報告を送信した。これにより、本来は損失となる取引が利益を出しているように処理され、プロトコルのボールトから1800万ドル規模の支払いが発生した。

目次

何が起きたのか?

オスティアムは、暗号資産ウォレットから株式、指数、商品、外国為替などに連動するパーペチュアル取引を行えるDeFiプロトコルである。今回の被害では、アービトラム上にある同プロトコルの流動性ボールトから、約1800万ドル相当のUSDCが流出した。

報道によれば、攻撃者はオスティウムの価格フィード基盤そのものを正面から破壊したのではなく、価格報告の自動化に使われる登録済みの仕組みを悪用した。具体的には、未来のタイムスタンプを含むオラクルレポートを送信し、プロトコル側に誤った価格状態を認識させたとされる。その結果、攻撃者のポジションが不当に利益を得たように扱われ、USDCの払い出しにつながった。

オスティアムは攻撃を受けた後、取引を停止し、調査を進めている。現時点で判明しているのは、被害額が約1800万ドル規模であること、対象がUSDC建ての流動性ボールトであること、攻撃経路がオラクル報告とタイムスタンプ処理に関わるものであることだ。一方、最終的な被害補填方針、再開時期、攻撃者との交渉有無、利用者資金の扱いは、今後の公式発表を確認する必要がある。

なぜ重要なのか?

DeFiでは、価格情報が正しく入ることが前提になっている。パーペチュアル取引、レンディング、清算、担保評価、オプション、合成資産は、外部市場の価格を参照して損益や清算ラインを決める。つまり、オラクルが誤れば、スマートコントラクト自体が正しく動いていても、結果として誤った支払いが発生する。

今回のオスティアムの事例は、この弱点を改めて示した。攻撃者は、価格参照の周辺にある自動化システムや時刻処理を利用し、プロトコルが信頼する情報の前提を崩した。これは、コード監査済みのコントラクトであっても、外部データの受け取り方や更新ルールに穴があれば大きな損失につながることを意味する。

特にオスティアムのように、暗号資産だけでなく株式、商品、為替などオフチェーン市場に連動する商品を扱うプロトコルでは、オラクルの重要性がさらに高い。オンチェーン上に存在しない価格を参照する以上、データ取得、署名、配信、更新頻度、異常値検知、タイムスタンプ管理が安全性の中心になる。

市場構造への影響

今回の流出は、DeFi市場の攻撃面がスマートコントラクト本体だけではないことを示している。以前は、再入攻撃や権限管理ミス、ブリッジの秘密鍵流出が大きな被害の中心だった。しかし現在は、価格フィード、リスクエンジン、清算ボット、自動実行インフラ、注文処理など、プロトコル周辺の部品が狙われやすくなっている。

これはDeFiが高度化した結果でもある。単純な交換機能から、レバレッジ取引、RWA連動商品、複数市場にまたがるデリバティブへ進むほど、プロトコルは外部データに依存する。便利な商品を作るために参照する情報が増えれば、その分だけ攻撃対象も増える。

オラクル層の信頼性は、今後のDeFi競争で重要な差になる。取引手数料が安いことや対応資産が多いことだけでは、利用者や流動性提供者の資金を守れない。価格参照の異常を止める仕組み、複数データ源の照合、更新遅延時の取引停止、最大損失制限、緊急時のガバナンス権限まで含めて、プロトコルの安全性が判断される。

資金・規制・流動性との関係

流動性提供者にとって、今回の被害は重要な警告になる。DeFiのボールトに資金を預ける場合、利用者はスマートコントラクトリスクだけでなく、価格参照リスクも負っている。オラクルが操作されれば、攻撃者に不当な利益が払い出され、損失はボールト側に集中する場合がある。

機関投資家やマーケットメーカーがDeFiへ参加するうえでも、オラクルリスクは避けて通れない。大口資金は、利回りや取引量だけでは動かない。どの価格フィードを使うのか、異常値をどう検知するのか、価格更新が遅れた時にどう止めるのか、攻撃時に誰が損失を負担するのかが確認される。

規制面でも、価格参照基盤の脆弱性は注目されやすい。オンチェーン金融が株式、商品、為替など伝統資産に近い商品を扱うほど、当局は価格形成の透明性、利用者保護、清算の公平性を問うようになる。オラクル攻撃が続けば、DeFiは技術的に革新的であっても、金融市場インフラとしての信頼を得にくくなる。

流動性への影響は、単なる一時的な資金流出にとどまらない。攻撃後に利用者が資金を引き出せば、スプレッドは広がり、取引環境は悪化する。さらに、同種のパーペチュアル取引プロトコルやRWA連動DeFiにも警戒が広がれば、価格参照基盤を十分に説明できないプロジェクトは資金を集めにくくなる。

初心者向け補足

オラクルとは、ブロックチェーンの外にある情報をスマートコントラクトへ届ける仕組みである。たとえば、イーサリアム上のプロトコルが米国株や金、為替の価格を使いたい場合、その価格を外部から取得してオンチェーンへ反映する必要がある。この役割を担うのがオラクルである。

オラクル攻撃とは、プロトコルが参照する価格や時刻などの情報を不正に操作し、スマートコントラクトに誤った判断をさせる攻撃である。スマートコントラクトが設計通りに動いていても、入力された価格が間違っていれば、清算や払い出しの結果も間違う。

今回のようなパーペチュアル取引では、価格参照が損益計算に直結する。価格が正しければ損失になるポジションでも、不正な価格が入力されれば利益に見える場合がある。そのため、DeFiを使う際には、利回りや手数料だけでなく、どのオラクルを使っているのか、異常時に取引を止める仕組みがあるのかも重要になる。

Web3Timesの視点

オスティアムの1800万ドル流出で見るべきなのは、DeFiの弱点が単にスマートコントラクト監査の有無では測れなくなっている点だ。プロトコルが複雑になるほど、攻撃者はコントラクト本体ではなく、価格フィード、時刻処理、自動化システム、清算ロジックのつなぎ目を狙う。

これは、オンチェーン金融が本格的な市場インフラへ近づくほど避けられない課題でもある。現実世界の資産やデリバティブを扱うには、外部データが必要になる。しかし、外部データを取り込む瞬間に、ブロックチェーンの自己完結性は弱まる。オラクル層は、オンチェーンとオフチェーンをつなぐ便利な橋であると同時に、攻撃者にとって最も効果的な入口になり得る。

今後の焦点は、オスティアムが被害補填と再発防止をどう示すかである。取引停止だけでは十分ではない。価格フィードの署名方式、タイムスタンプ検証、異常値検知、支払い上限、緊急停止条件をどこまで見直すかが問われる。

DeFi市場全体にとっても、今回の事件はオラクル設計の重要性を再確認させるものだ。利用者が安心して資金を預けるには、コードが動くことだけでなく、参照する情報が壊れた時にどう守るかが必要になる。オラクル層は、DeFiの裏方ではなく、資金を守る中核インフラとして扱われる段階に入っている。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

Web3をやさしく解説するOba3

目次