Ostium, un échange de perpétuels d’actifs du monde réel basé sur Arbitrum, a perdu près de 18 millions de dollars en USDC aujourd’hui, après que des attaquants ont compromis une clé privée de signataire d’oracle et manipulé les prix. La clé compromise a permis aux attaquants de contourner les contrôles et de soumettre des prix futurs favorables, en exécutant environ 20 trades bouclés via des actions déléguées afin de générer instantanément du profit aux dépens du protocole. L’incident met en évidence des risques de sécurité persistants dans les infrastructures DeFi décentralisées dépendantes d’oracles qui gèrent des dérivés d’actifs du monde réel.
La société de sécurité Blockaid a d’abord signalé l’incident, indiquant que l’attaquant a utilisé un forwarder PriceUpKeep enregistré et des rapports d’oracle autorisés datés dans le futur pour générer des profits de trading artificiels. Cela a déclenché des boucles répétées d’ouverture et de fermeture qui ont vidé des fonds du vault principal de liquidité d’Ostium. Les données on-chain montrent environ 11,86 millions à 18 millions de dollars en USDC extraits du vault, soit environ 28 % de sa valeur totale verrouillée de 63 millions de dollars au moment de l’attaque. La transaction d’exploitation principale est publiquement vérifiable sur Arbiscan.
Ostium est un échange de perpétuels décentralisé axé sur les actifs du monde réel, notamment des actions, des matières premières, le forex et des indices, construit sur Arbitrum. Le protocole a levé environ 27,8 millions de dollars auprès d’investisseurs incluant General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute et GSR. Malgré un fort soutien institutionnel et plusieurs audits, l’incident révèle des risques persistants dans l’infrastructure RWA dépendante d’oracles.
L’exploitation fait l’objet d’une enquête active. Les utilisateurs doivent surveiller les canaux officiels pour les consignes de retrait et les mises à jour de sécurité. L’événement souligne la nécessité d’une gestion des clés d’oracles renforcée et d’une surveillance en temps réel dans les protocoles DeFi hybrides.
Qu’est-ce qui a causé l’exploit d’Ostium aujourd’hui ?
Des attaquants ont compromis une clé privée de signataire d’oracle, leur permettant de contourner les vérifications et de soumettre des prix futurs favorables. Ils ont exécuté environ 20 trades bouclés via des actions déléguées, générant instantanément du profit aux dépens du protocole.
De combien Ostium a-t-il perdu dans l’attaque par oracle ?
Les données on-chain montrent environ 11,86 millions à 18 millions de dollars en USDC extraits du vault d’Ostium, soit environ 28 % de ses 63 millions de dollars de valeur totale verrouillée au moment de l’attaque.
Qui a détecté la faille de sécurité d’Ostium ?
La société de sécurité Blockaid a d’abord signalé l’incident, identifiant que l’attaquant utilisait un forwarder PriceUpKeep enregistré et des rapports d’oracle autorisés datés dans le futur pour générer des profits de trading artificiels.
Actualités associées
Les actions de Qualcomm chutent de 3 % après qu’un vendeur à découvert a découvert du code de fausse collaboration avec Anthropic
Le portefeuille OG de Bitcoin, inactif pendant 7 ans, se réveille : 2 931 BTC ont été transférés vers un nouveau portefeuille, plutôt que vers une bourse.