Ostium pierde hasta 24 millones de dólares en cinco minutos por una manipulación del oráculo con datos de precio "del futuro"
Resumen del mercado generado por IA
El incidente de manipulación del oráculo de 5 minutos reportado por Ostium drenó hasta ~24M$ de su bóveda pública de liquidez, poniendo de relieve un modo de fallo en el que rutas de firmantes autorizados pueden aportar datos "tóxicos" (marcas de tiempo futuras) que superan las comprobaciones de firma. La falta de una cifra final de pérdidas o de un informe posterior al incidente mantiene la incertidumbre en torno a los controles de acceso privilegiado y las comprobaciones de coherencia del oráculo. Los fondos se intercambiaron por ETH y se canalizaron a Tornado Cash, añadiendo riesgo mediático y de cumplimiento para DeFi.
Nivel de impacto
● Media
Activos afectados
ETH/USDT-4.10%
Ideas de IA · ETH/USDTIdeas de IA
▼ Bajista
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
Ostium, plataforma de trading onchain de perpetuos, informó de un incidente de seguridad de cinco minutos que provocó pérdidas en su bóveda pública de liquidez. Firmas de seguridad sitúan el impacto en hasta 24 millones de dólares.
La cofundadora Kaledora KiernanLinn indicó que el problema se produjo el 15 de julio entre las 14:18 y las 14:23 UTC y afectó al tesoro público de Ostium Liquidity Provider (OLP). Señaló que el equipo lo detectó en cuestión de minutos y coordinó la pausa de negociación en menos de una hora. Ostium no ha comunicado aún la cifra final, la causa raíz ni un informe posterior al incidente.
Según Blockaid y Cyvers, el núcleo del ataque no fue una firma ausente, sino el uso de datos autorizados: un relayer PriceUpKeep registrado habría enviado un informe de oráculo con fecha futura, generando beneficios ficticios en las transacciones. SlowMist añadió que firmantes autorizados habrían aportado datos manipulados con firmas válidas, lo que permitió repetir operaciones rentables. Estas conclusiones proceden de análisis de terceros y quedan pendientes de confirmación en el informe de Ostium.
La autenticación criptográfica verifica que el reporte estaba firmado por una clave autorizada. Eso no garantiza, por sí solo, que el precio sea razonable, que el timestamp sea reciente o que la liquidación sea segura. El código OstiumVerifier enlazado en la documentación de seguridad recupera el firmante ECDSA y comprueba si está autorizado, pero no impone controles de coherencia de precios ni límites de tiempo. Tampoco queda claro qué versión estaba activa durante el evento o si otros contratos aplicaban esas validaciones; cualquier protección contra timestamps anómalos, replays, desviaciones de precio o verificación multisource tendría que ejecutarse en otra parte del flujo.
La documentación del protocolo indica que la bóveda OLP custodia el colateral de los traders y paga de forma instantánea onchain las operaciones ganadoras. Si el sistema acepta beneficios falsos para la liquidación, la bóveda cubre esos pagos con su propia liquidez. Además, aunque el precio de la acción subyacente no cambie, las acciones tokenizadas usadas como colateral acaban expirando.
Las estimaciones públicas han ido aumentando conforme avanza el seguimiento: Blockaid calcula pagos cercanos a 18 millones de dólares; Cyvers estima 23,7 millones; PeckShield describió posteriormente una salida de unos 24 millones. El cálculo más bajo de SlowMist, 11,86 millones, se asocia a un flujo de salida de tesorería de 11.862.444,782 USDC visible en las transacciones citadas.
PeckShield afirmó que los USDC retirados se canjearon por 12.080 ETH y que, según su actualización, 10.540 ETH se enviaron a Tornado Cash. KiernanLinn aseguró que Ostium colabora con fuerzas de seguridad, SEAL 911 y expertos externos.
El caso se diferencia del incidente ocurrido cuatro días antes en Bonzo Lend, el protocolo de préstamos de Hedera, donde el informe apuntó a que el validador aceptó una prueba sin firma válida. En Ostium, las firmas de seguridad sostienen que el reporte pasó por la ruta de firmante autorizado: la autenticación se superó, pero los datos habrían sido inseguros.
Ostium debe aclarar si la clave del firmante fue comprometida, si operadores autorizados actuaron de forma maliciosa o si se abusó de otras vías privilegiadas. Sus medidas de remediación —aislamiento de firmantes, límites estrictos de timestamp, comprobaciones independientes de precios, rate limiting y "circuit breakers"— se medirán por su capacidad para evitar que una ruta de confianza convierta unos minutos de datos defectuosos en nuevos pagos desde la bóveda.