Chargement des prix…
🩸BEARISH

Ostium perd 18 M$ dans une attaque d’oracle sur Arbitrum

L’attaquant a retourné contre Ostium sa propre automatisation des prix opérée par Gelato, en forgeant des lectures d’oracle datées dans le futur pour extraire 18 M$ en USDC. C’est la deuxième grande attaque d’oracle en une semaine.

Ostium perd 18 M$ dans une attaque d’oracle sur Arbitrum
Ostium perd 18 M$ dans une attaque d’oracle sur Arbitrum
Ostium perd 18 M$ dans une attaque d’oracle sur Arbitrum
Ostium perd 18 M$ dans une attaque d’oracle sur Arbitrum

Un attaquant a drainé environ 18 millions de dollars en USDC du coffre de liquidité d’Ostium sur Arbitrum lors d’un exploit de manipulation d’oracle détecté par la société de sécurité blockchain Blockaid, selon des données onchain. L’attaquant a utilisé un forwarder PriceUpKeep enregistré, un composant de l’infrastructure automatisée d’Ostium, pour soumettre des rapports de prix d’oracle avec des horodatages datés dans le futur. Les rapports manipulés ont fait apparaître comme rentables des positions perdantes, ce qui a déclenché le paiement de 18 millions de dollars en USDC depuis le coffre.

Ostium est une bourse décentralisée de contrats perpétuels sur Arbitrum qui permet aux utilisateurs de trader des actifs du monde réel, dont des matières premières, des devises et des indices actions, avec un effet de levier allant jusqu’à 200x, avec règlement en USDC. Le protocole utilise un système personnalisé de flux de prix pour suivre ces prix offchain, le réseau d’automatisation tiers Gelato étant chargé de pousser les dernières cotations onchain aux bons moments. Un smart contract appelé PriceUpKeep se trouve au centre de ce processus, en agissant comme le déclencheur qui inscrit les données de prix chaque fois qu’une transaction doit être exécutée. L’attaquant a compromis ce pipeline, et non un flux de prix externe.

Pourquoi c’est important

L’exploit s’inscrit dans une série d’attaques contre des oracles et des systèmes de keepers dans la DeFi, dont la plus récente est le drainage de 6 millions de dollars chez Summer.fi la semaine dernière, selon un schéma similaire consistant à obtenir l’accès à des rôles privilégiés et à manipuler le calendrier ou le contenu des données de prix pour extraire des fonds de pools de liquidité. Le schéma qui se répète est le cœur du sujet : les réseaux de keepers et l’infrastructure automatisée de prix restent un point faible, et les protocoles qui s’appuient sur eux pour amener onchain les prix d’actifs du monde réel héritent de ce risque.

Impact sur le marché

Ostium avait levé 27,8 millions de dollars au total, dont une Series A de 24 millions de dollars codirigée par General Catalyst et Jump Crypto fin 2025, et avait traité plus de 50 milliards de dollars de volume cumulé. Une perte de 18 millions de dollars représente une part importante de cette réserve pour un protocole dans le segment encore naissant des perps RWA, et l’incident survient alors que des plateformes centralisées ont fait état de volumes records de 311 milliards de dollars sur les perpétuels RWA en juin, un contraste qui souligne que les perps RWA onchain restent une surface exigeant davantage de confiance que l’alternative centralisée.

Tokens associés
$USDC

Questions fréquemment posées

  1. Comment l’attaquant a-t-il drainé 18 M$ chez Ostium ?

    L’attaquant a utilisé un forwarder PriceUpKeep enregistré, partie de l’automatisation des prix d’Ostium opérée par Gelato sur Arbitrum, pour soumettre des rapports de prix d’oracle avec des horodatages datés dans le futur. Les lectures manipulées ont fait paraître rentables des trades perdants et déclenché un paiement…

  2. Qu’est-ce qu’Ostium et quels actifs y sont tradés ?

    Ostium est une bourse décentralisée de perpétuels sur Arbitrum qui permet aux utilisateurs de trader des actifs du monde réel, dont des matières premières, des devises et des indices actions, avec un effet de levier allant jusqu’à 200x, avec règlement en USDC.

  3. Qui a signalé l’exploit d’Ostium ?

    La société de sécurité blockchain Blockaid a détecté l’exploit et publié l’alerte, le drainage onchain ayant été confirmé par des données onchain.

  4. Comment cela se compare-t-il à l’exploit de Summer.fi ?

    L’attaque contre Summer.fi la semaine dernière a drainé 6 millions de dollars selon un schéma similaire, avec obtention d’un accès à des rôles privilégiés et manipulation du calendrier ou du contenu des données de prix pour extraire des fonds de pools de liquidité.

  5. Combien Ostium avait-il levé avant l’exploit ?

    Ostium avait levé 27,8 millions de dollars au total, dont une Series A de 24 millions de dollars codirigée par General Catalyst et Jump Crypto fin 2025, et avait traité plus de 50 milliards de dollars de volume de trading cumulé.

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 1h
Ouvrir l'original →