El DEX Perp Ostium sufre ataque brutal al oráculo por 18 millones de dólares

Compartir:
En resumen
- Ostium DEX drenó 18 millones de $ USDC mediante una clave de oráculo comprometida en Arbitrum.
- El atacante utilizó precios con fecha futura para encadenar operaciones rentables y vaciar la bóveda.
- Importante protocolo perp de RWA impactado a pesar de una financiación de $27,8M de los principales VCs.
La plataforma de perpetuos RWA de Arbitrum, Ostium, perdió cerca de 18 millones de dólares en USDC hoy después de que atacantes comprometieran una clave de firmante de oráculo y manipularan los precios.
La causa principal fue una clave privada de firmante de oráculo comprometida. Esto permitió al atacante saltarse las verificaciones y enviar precios favorables a futuro. Ejecutaron unas 20 operaciones en bucle mediante acciones delegadas, obteniendo ganancias instantáneas a costa del protocolo sin exposición real al mercado.
El exploit drena un tercio del vault en pocas horas
La empresa de seguridad Blockaid fue la primera en alertar sobre el incidente, indicando que el atacante usó un PriceUpKeep forwarder registrado y reportes de oráculo autorizados con fechas futuras para generar beneficios de trading artificiales. Esto provocó bucles repetidos de apertura y cierre que vaciaron fondos del vault principal de liquidez de Ostium.
🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.More details in 🧵
— Blockaid (@blockaid_) July 15, 2026
Síguenos en X para ver las últimas noticias en tiempo real
Los datos on-chain muestran que se extrajeron aproximadamente entre 11.86 millones y 18 millones de dólares en USDC del vault, lo que representa alrededor del 28% de su TVL de 63 millones de dólares en el momento del ataque. La transacción principal del exploit es verificable públicamente en Arbiscan.
Ostium es un exchange descentralizado líder de perpetuos enfocado en activos del mundo real, incluyendo acciones, commodities, forex e índices, construido sobre Arbitrum.
Gran respaldo sufre gran revés
El protocolo había recaudado aproximadamente 27.8 millones de dólares de inversores de alto nivel como General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute y GSR.
A pesar del fuerte apoyo institucional y varias auditorías, el incidente expone riesgos persistentes en la infraestructura RWA dependiente de oráculos.
El exploit está bajo investigación activa. Los usuarios deben estar atentos a los canales oficiales para obtener instrucciones sobre retiros y actualizaciones de seguridad. El suceso resalta la necesidad de fortalecer la gestión de claves de oráculo y la monitorización en tiempo real en protocolos DeFi híbridos.
A medida que el sector de perpetuos RWA crece rápidamente, esta brecha sirve como un recordatorio oportuno: incluso los proyectos con buena financiación siguen siendo vulnerables a ataques a claves privadas y oráculos.
Leer el artículo en BeInCryptoLeer más











