Um atacante drenou cerca de $18 milhões em USDC do cofre de liquidez da Ostium na Arbitrum, num exploit de manipulação de oráculo detetado pela empresa de segurança blockchain Blockaid, segundo dados onchain. O atacante usou um forwarder PriceUpKeep registado, um componente da infraestrutura automatizada da Ostium, para submeter relatórios de preços do oráculo com carimbos temporais datados no futuro. Os relatórios manipulados fizeram posições perdedoras parecerem lucrativas, o que acionou o pagamento de $18 milhões em USDC a partir do cofre.
A Ostium é uma bolsa descentralizada de perpétuos na Arbitrum que permite aos utilizadores negociar ativos do mundo real, incluindo matérias-primas, forex e índices acionistas, com alavancagem até 200x e liquidação em USDC. O protocolo opera um sistema próprio de feeds de preços para acompanhar esses preços offchain, com a rede de automação de terceiros Gelato responsável por publicar onchain as cotações mais recentes nos momentos certos. Um contrato inteligente chamado PriceUpKeep está no centro desse processo, atuando como o gatilho que escreve os dados de preço sempre que uma negociação precisa de ser executada. O atacante comprometeu esse pipeline, não um feed de preços externo.
Porque é importante
O exploit surge após uma série de ataques a oráculos e sistemas de keeper em DeFi, mais recentemente um dreno de $6 milhões da Summer.fi na semana passada, usando um padrão semelhante de acesso a funções privilegiadas e manipulação do momento ou do conteúdo dos dados de preço para extrair fundos de pools de liquidez. O padrão repetido é o ponto central: as redes de keeper e a infraestrutura automatizada de preços continuam a ser um ponto frágil, e os protocolos que dependem delas para levar preços de ativos do mundo real onchain herdam esse risco.
Impacto no mercado
A Ostium tinha angariado $27,8 milhões em financiamento total, incluindo uma Série A de $24 milhões coliderada pela General Catalyst e pela Jump Crypto no final de 2025, e tinha processado mais de $50 mil milhões em volume acumulado de negociação. Uma perda de $18 milhões é uma fatia relevante desse capital para um protocolo num vertical de perpétuos RWA ainda nascente, e o incidente ocorre quando plataformas centralizadas reportaram volumes recorde de perpétuos RWA de $311 mil milhões em junho, um contraste que mostra como os perpétuos RWA onchain continuam a exigir mais confiança do que a alternativa centralizada.
Perguntas frequentes
-
Como é que o atacante drenou $18M da Ostium?
O atacante usou um forwarder PriceUpKeep registado, parte da automação de preços da Ostium operada pela Gelato na Arbitrum, para submeter relatórios de preços do oráculo com carimbos temporais datados no futuro. As leituras manipuladas fizeram negócios perdedores parecerem lucrativos e acionaram um pagamento de $18…
-
O que é a Ostium e que ativos negoceia?
A Ostium é uma bolsa descentralizada de perpétuos na Arbitrum que permite aos utilizadores negociar ativos do mundo real, incluindo matérias-primas, forex e índices acionistas, com alavancagem até 200x e liquidação em USDC.
-
Quem sinalizou o exploit da Ostium?
A empresa de segurança blockchain Blockaid detetou o exploit e publicou o alerta, com o dreno onchain confirmado por dados onchain.
-
Como se compara isto ao exploit da Summer.fi?
O ataque à Summer.fi na semana passada drenou $6 milhões usando um padrão semelhante de acesso a funções privilegiadas e manipulação do momento ou do conteúdo dos dados de preço para extrair fundos de pools de liquidez.
-
Quanto tinha a Ostium angariado antes do exploit?
A Ostium tinha angariado $27,8 milhões em financiamento total, incluindo uma Série A de $24 milhões coliderada pela General Catalyst e pela Jump Crypto no final de 2025, e tinha processado mais de $50 mil milhões em volume acumulado de negociação.
CoinDesk