El 15 de julio de 2026, Ostium —un exchange de perpetuos de activos del mundo real en Arbitrum— fue drenado de aproximadamente 18 millones de dólares después de que un atacante se apoderara de la infraestructura de precios del protocolo y le entregara precios de oráculo falsificados para abrir y cerrar operaciones apalancadas a voluntad.
Qué ocurrió
Ostium permite a los traders tomar posiciones apalancadas sobre activos del mundo real como oro, divisas e índices bursátiles, respaldadas por un vault de liquidez en USDC —el vault OLP— que actúa como contraparte de cada operación. El atacante obtuvo el control de una clave de firma de oráculo y abusó de un forwarder PriceUpKeep registrado, un componente del sistema automático de entrega de precios de Ostium, para enviar informes de oráculo autorizados y predatados que eludían la verificación normal del protocolo. En una única transacción atómica executeBatch ejecutó, mediante acciones delegadas, unas 20 operaciones en bucle: abrir una posición al precio real de mercado, entregar luego un precio artificialmente favorable mediante una llamada manipulada a performUpkeep y cerrar de inmediato la posición con beneficio. Los eventos de operaciones en cadena mostraban posiciones abiertas a un precio entregado de 5.000 dólares y cerradas cerca de 60.000 dólares —un imposible movimiento de doce veces dentro de una sola transacción, lo que confirma que al menos un precio fue fabricado a demanda. El bucle extrajo los fondos directamente del vault OLP, que antes del ataque tenía unos 63 millones de dólares de valor total bloqueado —es decir, casi un tercio de la liquidez del protocolo se esfumó en un solo bloque.
Consecuencias
La firma de seguridad Blockaid señaló primero las transacciones de drenaje, y CertiK y otros analistas en cadena corroboraron el patrón de compromiso del oráculo. Ostium pausó toda la operativa de la plataforma en cuestión de minutos y comenzó a investigar. Las estimaciones de pérdida reportadas oscilaron entre unos 12 y 18 millones de dólares, y algunos rastreadores situaron la salida del vault hasta en 23,7 millones de dólares. Al momento de la publicación, los fondos no habían sido recuperados. Ostium había recaudado cerca de 27,8 millones de dólares y procesado más de 50.000 millones de dólares de volumen acumulado antes del incidente, lo que convierte el exploit en un duro golpe para uno de los mayores mercados de perpetuos de activos reales de Arbitrum.
Por qué importa
Ostium es el caso más reciente de la implacable ola de ataques de oráculo y de feed de precios contra DEX de perpetuos en 2026 —y la segunda plataforma de perpetuos de Arbitrum golpeada en dos días, ya que Cascade siguió un día después. La mecánica es casi idéntica a la de KiloEX, donde una falla de control de acceso en un MinimalForwarder permitió a un atacante enviar actualizaciones de precio firmadas arbitrarias y abrir y cerrar posiciones a precios manipulados, y a la clásica manipulación de Mango Markets. Además cae en el mismo mes que el exploit de oráculo de Bonzo Lend, reforzando una lección tajante: un protocolo de perpetuos solo es tan fiable como las claves de firma y los forwarders que lo alimentan de precios. Cuando la propia vía del oráculo está comprometida, cada control de riesgo posterior calcula con números elegidos por el atacante.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/business/2026/07/15/ostium-suffers-usd18-million-exploit-as-oracle-attack-wave-continues-to-hit-defi
- [02]decrypt.cohttps://decrypt.co/373566/defi-exploit-ostium-oracle-hack
- [03]theblock.cohttps://www.theblock.co/post/408450/ostium-pauses-trading-after-apparent-18-million-vault-exploit
- [04]crypto.newshttps://crypto.news/blockaid-uncovers-18m-exploit-that-forces-ostium-halt/
- [05]thedefiant.iohttps://thedefiant.io/news/hacks/ostium-halts-trading-after-oracle-exploit-drains-up-to-usd18m-from-vault
- [06]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/
- [07]cryptobriefing.comhttps://cryptobriefing.com/ostium-suspends-trading-olp-vault-exploit/