Un hacker explotó Ostium, un intercambio perpetuo descentralizado en Arbitrum, en un sofisticado esquema de manipulación de oráculos que resultó en la pérdida de $18 millones en USDC del depósito de liquidez del protocolo.
Atacante explotó el sistema automatizado de alimentación de precios
La firma de seguridad blockchain Blockaid detectó primero el exploit, que apuntó a un componente clave de la configuración de automatización de precios de Ostium conocido como el PriceUpKeep forwarder. El atacante presentó reportes de oráculos falsificados con marcas de tiempo futuras, haciendo que operaciones perdedoras parecieran rentables.
Esta manipulación permitió al atacante desencadenar un phace de $18 millones desde el depósito de Ostium. El análisis de Blockaid muestra que el exploit tuvo éxito aprovechando el rol privilegiado de los componentes de automatización responsables de informar sobre el precio de los activos del mundo real.
El atacante utilizó un PriceUpKeep forwarder registrado para enviar datos de precios manipulados con marcas de tiempo futuras, obligando al protocolo a reconocer ganancias fabricadas y permitiendo un retiro de $18 millones en USDC del depósito de liquidez.
El exploit resalta vulnerabilidades persistentes en las finanzas descentralizadas, especialmente en los sistemas que automatizan y verifican la información de precios de fuentes del mundo real a las blockchains.
Mini diccionario: Ostium es un protocolo de comercio descentralizado en Arbitrum que permite a los usuarios negociar contratos perpetuos de activos del mundo real como oro, divisas extranjeras e índices de acciones, típicamente con alto apalancamiento y liquidación en stablecoins.
Patrón de vulnerabilidades en el sistema de oráculos de DeFi
Incidentes similares al ataque de Ostium han afectado a otros protocolos descentralizados, con plataformas DeFi frecuentemente atacadas a través de exploits que involucran infraestructuras de oráculos o keeper. La semana pasada, se drenaron $6 millones de Summer.fi en un ataque comparable donde se manipuló el contenido o el tiempo de los datos de precios.
El sistema de Ostium se basa en una red de terceros llamada Gelato para automatizar la entrega de datos de precios del mundo real a sus contratos en la cadena. El contrato central de PriceUpKeep escribe los últimos precios de activos en Arbitrum cada vez que un usuario ejecuta una operación. Los atacantes han enfocado cada vez más estos mecanismos de actualización automatizados, buscando debilidades en cómo y cuándo se escriben los datos de precios en la blockchain.
Al controlar o falsificar componentes de automatización confiables, los actores malintencionados pueden fabricar resultados comerciales en papel y extraer fondos de protocolo desencadenando liquidaciones ilegítimas.
| Plataforma | Fecha del Exploit | Monto de la Pérdida | Vector de Ataque |
|---|---|---|---|
| Ostium | Junio 2026 | $18 millones | Manipulación de oráculo vía PriceUpKeep |
| Summer.fi | Junio 2026 | $6 millones | Brecha en el sistema de Keeper/oráculo |
Crecimiento y antecedentes de financiamiento de Ostium
Antes del exploit, Ostium había recaudado un total de $27.8 millones, incluyendo una Serie A de $24 millones co-liderada por los inversores de riesgo General Catalyst y Jump Crypto a finales de 2025. El protocolo también había reportado más de $50 mil millones en volumen de comercio acumulado, reflejando un fuerte interés de los usuarios en derivados en la cadena vinculados a mercados del mundo real.
En el momento del incidente, Ostium permitía a los comerciantes acceder a materias primas, pares de divisas y índices de acciones, ofreciendo hasta 200x de apalancamiento y contratos liquidados en USDC.
Las investigaciones están en curso después de que se emitieran alertas de seguridad, con la extensión de la identidad del atacante y la posibilidad de recuperar los fondos drenados actualmente desconocidos.
Incidentes como el de Ostium destacan los riesgos asociados con la creciente dependencia de los protocolos DeFi en infraestructuras de automatización y oráculos complejos, especialmente cuando estos sistemas se confían con grandes sumas de capital de inversores.


