Ostium, un protocolo de trading perpetuo de activos del mundo real en Arbitrum, perdió unos $18 millones en USDC después de que un atacante explotara su flujo de actualización de oráculos, según la firma de seguridad Blockaid.
El atacante utilizó un forwarder PriceUpKeep registrado e informes de oráculo autorizados con fecha futura para fabricar beneficios de trading artificiales, lo que activó el pago de $18M desde el OLP Vault del protocolo. Blockaid divulgó la transacción del exploit y la dirección del atacante; el incidente sigue bajo investigación. Ostium reconoció el problema, pausó toda la operativa y dijo que está investigando el vault.
Por qué importa
Ostium ofrece perps sobre acciones, materias primas y divisas, de modo que su capa de oráculos es la frontera de confianza entre los feeds de precios de TradFi y el colateral onchain. Saltársela con informes fechados en el futuro no requiere una clave privada ni un fallo de contrato en el sentido habitual; el atacante se mantuvo dentro de roles autorizados y aun así vació el vault. Ese es el modo de fallo que los suscriptores institucionales señalarán primero.
Impacto en el mercado
El protocolo había recaudado unos $27.8M de General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute y GSR, por lo que la pérdida representa una parte material del capital con el que llegó a mainnet. Un exploit confirmado a nivel de oráculo en una plataforma RWA también repercute en la categoría más amplia de RWA-perps, donde la integridad de los precios es todo el argumento. Habrá que estar atentos al informe post mortem, a la cobertura de tesorería y a si los depositantes del OLP Vault son compensados con fondos del equipo o mediante una votación de gobernanza.
Preguntas frecuentes
-
¿Qué ocurrió en el exploit de Ostium?
Un atacante usó un forwarder PriceUpKeep registrado e informes de oráculo autorizados con fecha futura para crear beneficios de trading artificiales y drenar unos $18M en USDC del OLP Vault en Arbitrum. Ostium pausó toda la operativa mientras investiga.
-
¿Quién detectó el exploit de Ostium?
La firma de seguridad Blockaid dijo que detectó el exploit, divulgó la transacción del ataque y publicó la dirección del atacante. Ostium reconoció el problema y pausó la operativa mientras avanza la investigación.
-
¿Cómo drenó el atacante el vault sin una clave privada?
El atacante se mantuvo dentro de roles autorizados, usando un forwarder PriceUpKeep registrado e informes de oráculo con fecha futura para fabricar operaciones rentables que el vault aceptó como legítimas.
-
¿Qué es Ostium y cuánto ha recaudado?
Ostium es un protocolo de trading perpetuo de activos del mundo real en Arbitrum que ofrece perps sobre acciones, materias primas y divisas. Ha recaudado unos $27.8M de General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute y GSR.
-
¿Qué pasará ahora con los depositantes del OLP Vault?
Ostium pausó la operativa y está investigando. Que los depositantes sean compensados con fondos del equipo, la tesorería o una votación de gobernanza dependerá del post mortem, que el equipo aún no ha publicado.