Le 15 juillet 2026, Ostium — une plateforme de perpétuels sur actifs du monde réel déployée sur Arbitrum — a été vidée d'environ 18 millions de dollars après qu'un attaquant a pris le contrôle de l'infrastructure de prix du protocole et lui a fourni des prix d'oracle falsifiés pour ouvrir et fermer des positions à effet de levier à volonté.
Ce qui s'est passé
Ostium permet aux traders de prendre des positions à effet de levier sur des actifs réels tels que l'or, les devises et les indices boursiers, adossées à un vault de liquidité en USDC — le vault OLP — qui sert de contrepartie à chaque transaction. L'attaquant a pris le contrôle d'une clé de signature d'oracle et a détourné un forwarder PriceUpKeep enregistré, un composant du système automatique de livraison des prix d'Ostium, pour soumettre des rapports d'oracle autorisés et antidatés qui contournaient la vérification normale du protocole. En une seule transaction atomique executeBatch, il a exécuté par actions déléguées environ 20 transactions en boucle : ouvrir une position au prix réel du marché, puis livrer un prix artificiellement favorable via un appel performUpkeep manipulé et refermer aussitôt la position avec profit. Les événements de trades on-chain montraient des positions ouvertes à un prix livré de 5 000 dollars et fermées près de 60 000 dollars — une hausse impossible d'un facteur douze au sein d'une même transaction, confirmant qu'au moins un prix a été fabriqué à la demande. La boucle a siphonné les fonds directement du vault OLP, qui détenait environ 63 millions de dollars de valeur totale verrouillée avant l'attaque — soit près d'un tiers de la liquidité du protocole disparue en un seul bloc.
Conséquences
La société de sécurité Blockaid a repéré la première les transactions de drainage, CertiK et d'autres analystes on-chain corroborant le schéma de compromission de l'oracle. Ostium a suspendu tout le trading de la plateforme en quelques minutes et lancé une enquête. Les estimations de perte rapportées allaient d'environ 12 à 18 millions de dollars, certains traqueurs évaluant la sortie du vault jusqu'à 23,7 millions de dollars. Au moment de la publication, les fonds n'avaient pas été récupérés. Ostium avait levé environ 27,8 millions de dollars et traité plus de 50 milliards de dollars de volume cumulé avant l'incident, faisant de l'exploit un coup dur pour l'une des plus grandes places de perpétuels sur actifs réels d'Arbitrum.
Pourquoi c'est important
Ostium est le dernier cas de la vague implacable d'attaques d'oracle et de flux de prix contre les DEX de perpétuels en 2026 — et la deuxième plateforme de perpétuels d'Arbitrum touchée en deux jours, Cascade ayant suivi le lendemain. La mécanique rappelle presque à l'identique KiloEX, où une faille de contrôle d'accès dans un MinimalForwarder a permis à un attaquant de soumettre des mises à jour de prix signées arbitraires et d'ouvrir puis fermer des positions à des prix manipulés, ainsi que la manipulation classique de Mango Markets. Il survient en outre le même mois que l'exploit d'oracle de Bonzo Lend, renforçant une leçon sans détour : un protocole de perpétuels n'est fiable que dans la mesure des clés de signature et des forwarders qui l'alimentent en prix. Lorsque la voie de l'oracle elle-même est compromise, chaque contrôle de risque en aval calcule sur des chiffres choisis par l'attaquant.
Sources & preuves on-chain
- [01]coindesk.comhttps://www.coindesk.com/business/2026/07/15/ostium-suffers-usd18-million-exploit-as-oracle-attack-wave-continues-to-hit-defi
- [02]decrypt.cohttps://decrypt.co/373566/defi-exploit-ostium-oracle-hack
- [03]theblock.cohttps://www.theblock.co/post/408450/ostium-pauses-trading-after-apparent-18-million-vault-exploit
- [04]crypto.newshttps://crypto.news/blockaid-uncovers-18m-exploit-that-forces-ostium-halt/
- [05]thedefiant.iohttps://thedefiant.io/news/hacks/ostium-halts-trading-after-oracle-exploit-drains-up-to-usd18m-from-vault
- [06]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/
- [07]cryptobriefing.comhttps://cryptobriefing.com/ostium-suspends-trading-olp-vault-exploit/