Ostium suspende la operativa tras un ataque al oráculo que habría drenado hasta 18 millones de USDC
Resumen del mercado generado por IA
Ostium detuvo la negociación en Arbitrum después de que, según informes, una manipulación de oráculo/keeper drenara ~12M–18M de USDC de su bóveda de liquidez, un golpe material frente a ~63M de TVL. El incidente refuerza el persistente riesgo de infraestructura DeFi en torno a mecanismos de entrega de precios de confianza, especialmente para perpetuos de activos del mundo real, y podría lastrar el apetito por el riesgo hacia los centros de derivados basados en Arbitrum y protocolos similares dependientes de oráculos hasta que se aclaren la contabilización de pérdidas y la remediación.
Nivel de impacto
● Media
Activos afectados
BTC/USDT+0.73%
Ideas de IA · BTC/USDTIdeas de IA
▼ Bajista
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
Ostium, un exchange de perpetuos sobre Arbitrum centrado en la negociación de activos del mundo real y que ha recaudado unos 27,8 millones de dólares de inversores como General Catalyst y Jump Crypto, detuvo el miércoles toda la negociación después de que un atacante manipulase su sistema de oráculos y extrajese hasta 18 millones de USDC de su bóveda de liquidez.
La firma de seguridad on-chain Blockaid indicó que el atacante "usó un forwarder registrado de PriceUpKeep y reportes de oráculo autorizados con fecha futura para generar beneficios de trading artificiales, lo que desencadenó un pago de ~18M de USDC desde la bóveda". Blockaid divulgó la transacción del exploit y la dirección del atacante, ambas en Arbitrum. La operación citada (0x359f8c05...d4870e0) figura confirmada en la cadena.
Divergencia en las cifras
Blockaid estima el desembolso en torno a 18 millones de dólares. Observadores independientes en cadena sitúan el importe por debajo, con algunas estimaciones cerca de 11,86 millones. Ostium no ha publicado un cálculo propio de las pérdidas.
Según DefiLlama, el protocolo mantenía aproximadamente 63,3 millones de dólares de valor total bloqueado (TVL) poco antes del ataque, lo que convierte incluso la estimación baja en una porción relevante del saldo de la bóveda.
El incidente se suma a una serie de explotaciones que se apoyan en sistemas automatizados de "keepers" y oráculos que los protocolos DeFi utilizan para llevar precios del mundo real a la cadena. Summer.fi perdió cerca de 6,04 millones de dólares por una manipulación del precio de una participación el 6 de julio, de acuerdo con su informe postmortem. En abril de 2025, un atacante sustrajo aproximadamente 7,5 millones de dólares de KiloEx en tres cadenas suplantando a un keeper de confianza para alimentar precios falsos, un esquema similar al descrito por Blockaid en el caso de Ostium.
Este patrón vuelve a señalar un punto débil recurrente en los protocolos que liquidan operaciones con datos off-chain: el sistema que entrega los precios suele considerarse confiable por defecto y, cuando un atacante lo controla, el protocolo termina pagando por operaciones que en realidad no generaron ganancias.
Mercado en pausa
Ostium confirmó el incidente y suspendió el mercado. "Somos conscientes del problema con la bóveda OLP. Hemos pausado toda la operativa. El equipo está investigando", publicó el protocolo en X.
Ostium permite negociar contratos perpetuos sobre activos como oro, petróleo, índices de renta variable y divisas desde una cartera cripto, con liquidación en USDC sobre Arbitrum, una red de capa 2. Según la propia Ostium, la bóveda OLP ha respaldado más de 33.000 millones de dólares de volumen acumulado en más de 50 mercados.
Blockaid sostiene que el componente utilizado por el atacante estaba dentro del perímetro que Ostium había indicado a investigadores de seguridad como seguro. El alcance del programa de recompensas por fallos (bug bounty) de Ostium establece que todos los keepers registrados, incluido PriceUpKeep, "y sus forwarders se asumen confiables y operando correctamente", y que los hallazgos que requieran un keeper comprometido o malicioso quedan fuera del programa.
El mecanismo del ataque y la cifra máxima de pérdidas reflejan las conclusiones de Blockaid y no se han reconciliado de forma independiente. La publicación de Blockaid menciona un "forwarder registrado" y "reportes de oráculo autorizados con fecha futura"; no afirma que se haya comprometido una clave privada, aunque algunos relatos del ataque lo han descrito en esos términos. Ostium no ha confirmado cómo el atacante obtuvo la capacidad de presentar dichos reportes ni ha publicado un balance de pérdidas.