El DEX de perpetuos Ostium perdió hasta USD $18 millones en USDC después de que un atacante comprometiera una clave de firmante del oráculo y manipulara precios en Arbitrum.
***
- El atacante habría extraído entre USD $11,86 millones y USD $18 millones del principal vault de liquidez de Ostium.
- La clave privada comprometida permitió enviar reportes de precios futuros y eludir controles de verificación.
- El incidente representa cerca del 28% del TVL del protocolo, que rondaba los USD $63 millones durante el ataque.
🚨 Pérdida masiva en Ostium: USD $18 millones robados 🚨
Un ataque comprometió la clave de un oráculo en Arbitrum.
El DEX de perpetuos vio un drenaje del 28% de su TVL.
Los precios fueron manipulados y se realizaron 20 transacciones fraudulentas.
La firma de seguridad… pic.twitter.com/Fv8W5QDY4a
— Diario฿itcoin (@DiarioBitcoin) July 15, 2026
Ostium, una plataforma descentralizada de contratos perpetuos para activos del mundo real, perdió casi USD $18 millones en USDC el 15 de julio de 2026. El protocolo opera sobre Arbitrum y permite negociar exposiciones vinculadas con acciones, materias primas, divisas e índices.
El incidente ocurrió después de que un atacante comprometiera una clave privada perteneciente a un firmante del oráculo. Esa infraestructura suministra los precios que utiliza el protocolo para valorar las operaciones y determinar sus resultados.
Según la información publicada por Finance Yahoo, la clave comprometida permitió omitir los controles de verificación del sistema. El atacante también pudo enviar reportes de precios futuros que favorecieron artificialmente sus operaciones.
Los oráculos cumplen una función crítica en los mercados descentralizados que ofrecen productos vinculados con activos externos a una blockchain. Sin una referencia de precios confiable, un contrato perpetuo puede liquidar posiciones o calcular ganancias con datos alterados.
En este caso, la manipulación no dependió de una exposición real al mercado. El atacante utilizó la información alterada para obtener ganancias instantáneas a costa del protocolo y de los fondos depositados en su vault principal de liquidez.
La firma de seguridad Blockaid fue la primera en alertar sobre el incidente. Su análisis señaló el uso de un forwarder PriceUpKeep registrado junto con reportes de oráculo autorizados que incluían fechas futuras.
El mecanismo permitió generar precios artificiales dentro del entorno de negociación. Con esos datos, el atacante ejecutó aproximadamente 20 transacciones en bucle mediante acciones delegadas.
Las operaciones repetidas consistieron en ciclos de apertura y cierre de posiciones. El objetivo fue capturar ganancias con una ventaja creada por el propio sistema de precios, en lugar de asumir el riesgo normal de un mercado.
La transacción principal del exploit puede verificarse públicamente en Arbiscan. Esa trazabilidad permite seguir el movimiento de los fondos y observar la interacción del atacante con los contratos involucrados.
El hecho de que los datos estén disponibles en la cadena no reduce el impacto sobre el protocolo. La transparencia permite investigar el ataque, pero los fondos retirados del vault representan una pérdida directa para la liquidez de Ostium.
Impacto sobre el vault y el sector RWA
Los datos en cadena sitúan el monto extraído entre USD $11,86 millones y USD $18 millones en USDC. La diferencia responde a las estimaciones disponibles durante las primeras horas de la investigación.
El drenaje equivalía aproximadamente al 28% del valor total bloqueado de Ostium. El TVL del protocolo rondaba los USD $63 millones cuando ocurrió el ataque.
La magnitud de la pérdida convirtió el incidente en un golpe relevante para una plataforma enfocada en productos perpetuos sobre activos del mundo real. Este segmento busca combinar la infraestructura de las finanzas descentralizadas con referencias a mercados tradicionales.
Ostium se presenta como un intercambio descentralizado de perpetuos para distintas clases de activos. Su oferta incluye exposiciones relacionadas con acciones, materias primas, divisas e índices, todos ellos dependientes de datos de precios externos.
La dependencia de oráculos crea un punto de concentración técnica. Aunque los contratos funcionen sobre una red pública, una clave comprometida puede alterar la información que determina el resultado económico de las operaciones.
El ataque también plantea preguntas sobre la administración de claves en protocolos híbridos. Estos sistemas conectan datos externos con contratos inteligentes, por lo que necesitan proteger tanto el código como las credenciales que autorizan los precios.
Ostium había recaudado aproximadamente USD $27,8 millones de inversores reconocidos del sector. Entre ellos se encuentran General Catalyst, Jump Crypto, Coinbase Ventures, Wintermute y GSR.
El respaldo de esas firmas no evitó el incidente. La brecha demuestra que la financiación institucional y las auditorías no eliminan por sí solas los riesgos asociados con las claves privadas y los oráculos.
Una ola de ataques DeFi
El ataque es consistente con un patrón de exploits de oráculo y sistema guardián observados en DeFi en los últimos años, el más reciente de los cuales vio USD $6 millones drenados de Summer.fi la semana pasada.
El evento en Ostium se encuentra bajo investigación activa. La información disponible no establece todavía una explicación adicional sobre el atacante ni confirma el destino final de todos los fondos extraídos.
Los usuarios deben seguir los canales oficiales de Ostium para conocer las instrucciones relacionadas con retiros y las actualizaciones de seguridad. La plataforma no presentó en la información analizada una resolución definitiva sobre la recuperación de los fondos.
El incidente refuerza la importancia de implementar una gestión más estricta de las claves de oráculo. También subraya la necesidad de contar con monitoreo en tiempo real para detectar patrones anómalos antes de que un vault sufra pérdidas mayores.
La expansión de los perpetuos basados en activos del mundo real aumenta la relevancia de estos controles. A medida que los protocolos conectan más mercados tradicionales con redes blockchain, los oráculos se convierten en componentes financieros de alto impacto.
El caso de Ostium deja una advertencia para proyectos bien financiados y con múltiples revisiones de seguridad. Una sola clave privada comprometida puede abrir la puerta a precios manipulados, operaciones repetitivas y retiros millonarios en cuestión de horas.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
Elon Musk condiciona la apertura total del código fuente de X a una auditoría de seguridad
IA
GPT 5.6 enfrenta críticas tras borrar archivos y bases de datos de usuarios
Estados Unidos
EE. UU. acusa a operadores rusos de alojar ciberataques que causaron daños por USD $62 millones
Estados Unidos