Chargement des prix…
🩸BEARISH

Ostium perd 18 M$ après une faille d’oracle sur Arbitrum

L’attaquant a exploité un forwarder enregistré et des rapports d’oracle antidatés vers le futur pour créer de faux profits de trading, vidant l’OLP Vault avant que l’équipe ne gèle les échanges.

Ostium, un protocole de trading de contrats perpétuels sur actifs du monde réel déployé sur Arbitrum, a perdu environ 18 millions de dollars en USDC après qu’un attaquant a exploité son flux de mise à jour d’oracle, selon la société de sécurité Blockaid.

L’attaquant a utilisé un forwarder PriceUpKeep enregistré et des rapports d’oracle autorisés datés dans le futur pour fabriquer des profits de trading artificiels, déclenchant le versement de 18 M$ depuis l’OLP Vault du protocole. Blockaid a publié la transaction de l’exploit et l’adresse de l’attaquant. L’incident reste en cours d’enquête. Ostium a reconnu le problème, suspendu tous les échanges et indiqué enquêter sur le vault.

Pourquoi c’est important

Ostium propose des perps sur actions, matières premières et devises, ce qui fait de sa couche d’oracle la frontière de confiance entre les flux de prix TradFi et le collatéral onchain. La contourner avec des rapports datés dans le futur ne nécessite ni clé privée ni bug de contrat au sens habituel. L’attaquant est resté dans des rôles autorisés tout en vidant le vault. C’est le type de défaillance que les souscripteurs institutionnels signaleront en premier.

Impact sur le marché

Le protocole avait levé environ 27,8 M$ auprès de General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute et GSR, si bien que la perte représente une part significative de la trésorerie apportée au mainnet. Un exploit confirmé au niveau de l’oracle sur une plateforme RWA se répercute aussi sur l’ensemble de la catégorie RWA-perps, où l’intégrité des prix est l’argument central. Il faudra surveiller le post-mortem, la couverture par la trésorerie et la question de savoir si les déposants de l’OLP Vault seront indemnisés par les fonds de l’équipe ou via un vote de gouvernance.

Tokens associés
$USDC

Questions fréquemment posées

  1. Que s’est-il passé lors de l’exploit d’Ostium ?

    Un attaquant a utilisé un forwarder PriceUpKeep enregistré et des rapports d’oracle autorisés datés dans le futur pour créer de faux profits de trading, drainant environ 18 M$ en USDC depuis l’OLP Vault sur Arbitrum. Ostium a suspendu tous les échanges pendant l’enquête.

  2. Qui a détecté l’exploit d’Ostium ?

    La société de sécurité Blockaid a indiqué avoir détecté l’exploit, publié la transaction concernée et communiqué l’adresse de l’attaquant. Ostium a reconnu le problème et suspendu les échanges dans l’attente de l’enquête.

  3. Comment l’attaquant a-t-il vidé le vault sans clé privée ?

    L’attaquant est resté dans des rôles autorisés, en utilisant un forwarder PriceUpKeep enregistré et des rapports d’oracle datés dans le futur pour fabriquer des trades profitables que le vault a acceptés comme légitimes.

  4. Qu’est-ce qu’Ostium et combien le protocole a-t-il levé ?

    Ostium est un protocole de trading de contrats perpétuels sur actifs du monde réel déployé sur Arbitrum, avec des perps sur actions, matières premières et forex. Il a levé environ 27,8 M$ auprès de General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute et GSR.

  5. Que va-t-il se passer pour les déposants de l’OLP Vault ?

    Ostium a suspendu les échanges et mène l’enquête. L’indemnisation éventuelle des déposants par les fonds de l’équipe, la trésorerie ou un vote de gouvernance dépendra du post-mortem, que l’équipe n’a pas encore publié.

Attribution de la source
Agrégé de WuBlockchain · Vérifié · Dernière mise à jour il y a 50m
Ouvrir l'original →