Пять минут — именно столько потребовалось неизвестному, чтобы вывести из децентрализованной биржи Ostium от $18 до $24 млн. Атака сработала не через взлом кошелька и не через уязвимость смарт-контракта в привычном понимании, а через данные о ценах, которых физически ещё не существовало.
Ostium — DeFi-платформа на Arbitrum, где трейдеры торгуют бессрочными контрактами на сырьё, валютные пары и фондовые индексы с плечом до 200x, а расчёты идут в USDC. К лету 2026 года через биржу прошло свыше $50 млрд оборота, а в декабре 2025-го проект привлёк $24 млн от General Catalyst и Jump Crypto.
15 июля, в промежутке между 14:18 и 14:23 по UTC, кто-то получил контроль над ключом авторизованного оракула — сервиса, который поставляет бирже актуальные цены активов. Через автоматизацию PriceUpKeep на базе сети Gelato в систему прошли ценовые отчёты с будущей меткой времени. Проверка подписи их пропустила: протокол сверял, что данные подписаны нужным ключом, но не сверял, могла ли эта цена вообще существовать в момент запроса. В итоге сделки открывались и мгновенно закрывались с гарантированной прибылью, а общий пул ликвидности расплачивался по этим «выигрышам» настоящими деньгами.
Оценки ущерба разнятся: SlowMist называет $11,86 млн, Blockaid — около $18 млн, Cyvers — $23,7 млн, PeckShield по итогам отслеживания движения средств — почти $24 млн. Соосновательница Ostium Каледора Кирнан-Линн подтвердила инцидент и заявила, что команда заметила неладное «в течение минут», торговля была остановлена, а к расследованию подключили правоохранителей. Что стало причиной — украденный ключ подписанта или действия недобросовестного оператора внутри системы — проект пока не раскрыл, как и планы по компенсации пользователям.
Ostium — не первая жертва такой схемы в этом месяце. Четырьмя днями ранее протокол Bonzo Finance на Hedera потерял $9 млн из-за открытого ценового оракула от Supra, хотя уязвимые версии на 11 других сетях к тому моменту уже были залатаны. А накануне DeFi-сервис Summer Finance лишился $6 млн из-за манипуляции ценами и объявил, что после семи лет работы сворачивается. По данным аналитиков, за первую половину 2026 года индустрия DeFi потеряла свыше $900 млн в 87 инцидентах, и больше 80% из них связаны именно с компрометацией ключей или атаками на мосты, а не с багами в коде смарт-контрактов.
Получается парадокс: сами смарт-контракты Ostium отработали ровно так, как запрограммированы — поверили подписи, которой доверяли. Слабым местом оказался не код, а сама архитектура доверия к внешним источникам данных. Пока протоколы не научатся проверять не только «кто подписал», но и «могло ли это вообще быть правдой», подобные истории с оракулами будут повторяться.



