Fünf Minuten. So lange brauchte jemand, um zwischen 18 und 24 Millionen Dollar aus Ostium abzuziehen, einer dezentralen Derivatebörse. Der Angreifer knackte weder eine Wallet noch nutzte er einen klassischen Code-Fehler aus — er nutzte einen Preis aus, den es zu diesem Zeitpunkt noch gar nicht gab.
Ostium läuft auf Arbitrum und erlaubt es Händlern, unbefristete Kontrakte mit bis zu 200-fachem Hebel auf Rohstoffe, Währungspaare und Aktienindizes zu eröffnen, abgerechnet in USDC. Bis Mitte 2026 hatte die Plattform über 50 Milliarden Dollar an kumuliertem Volumen abgewickelt und im Dezember 2025 in einer von General Catalyst und Jump Crypto angeführten Series-A-Runde 24 Millionen Dollar eingesammelt.
Am 15. Juli, zwischen 14:18 und 14:23 Uhr UTC, übernahm jemand die Kontrolle über einen autorisierten Orakel-Signierer — die Komponente, die dem Protokoll die aktuellen Preise liefert. Über die auf dem Gelato-Netzwerk basierende PriceUpKeep-Automatisierung gelangten Preisberichte mit zukünftigem Zeitstempel auf die Chain. Der Verifizierer prüfte nur, ob der Bericht eine gültige Signatur eines vertrauenswürdigen Signierers trug — nie, ob dieser Preis zu diesem Zeitpunkt überhaupt existieren konnte. Positionen öffneten und schlossen sich sofort mit garantiertem Gewinn, und der gemeinsame Liquiditätstresor zahlte echtes USDC für Gewinne aus, die nie erwirtschaftet worden waren.
Die Schadensschätzungen variieren je nach Firma: SlowMist beziffert sie auf 11,86 Millionen, Blockaid auf rund 18 Millionen, Cyvers auf 23,7 Millionen, und PeckShield kommt nach der Rückverfolgung der Gelder auf fast 24 Millionen. Ostium-Mitgründerin Kaledora Kiernan-Linn bestätigte den Vorfall und erklärte, das Team habe ihn „innerhalb von Minuten“ bemerkt, den Handel gestoppt und Strafverfolgungsbehörden eingeschaltet. Ob ein gestohlener Signierschlüssel oder ein böswilliger Insider die Ursache war, ließ sie offen — einen Plan zur Entschädigung der Nutzer hat Ostium bislang nicht angekündigt.
Ostium ist in diesem Monat kein Einzelfall. Vier Tage zuvor verlor das Protokoll Bonzo Finance auf Hedera 9 Millionen Dollar durch eine ähnliche Orakel-Schwachstelle von Supra, obwohl Supra dieselbe Lücke auf elf anderen Chains bereits geschlossen hatte. Einen Tag davor verlor der DeFi-Dienst Summer Finance 6 Millionen Dollar durch Preismanipulation und kündigte an, nach sieben Jahren den Betrieb einzustellen. Sicherheitsanalysten zufolge verlor der DeFi-Sektor allein in der ersten Jahreshälfte 2026 über 900 Millionen Dollar bei 87 Vorfällen, wobei mehr als 80 Prozent auf kompromittierte Schlüssel oder Bridge-Angriffe zurückgingen — nicht auf Fehler in der Smart-Contract-Logik.
Die Ironie: Ostiums Code hat exakt das getan, wofür er programmiert war — er vertraute einer Signatur, der er vertrauen sollte. Das schwache Glied war nicht der Vertrag, sondern die Annahme, dass, wer den richtigen Schlüssel besitzt, auch die Wahrheit über den Preis sagt. Solange Orakel nicht nur prüfen, wer eine Zahl signiert hat, sondern auch, ob diese Zahl überhaupt schon existieren konnte, werden sich solche Angriffe wiederholen.



