Ostium pierde hasta 24 millones de dólares por precios que aún no existían

iEXExchanger
Ostium pierde hasta 24 millones de dólares por precios que aún no existían

Un atacante tomó el control del oráculo de precios de Ostium y operó con cotizaciones del futuro, vaciando entre 18 y 24 millones de dólares de este exchange DeFi en Arbitrum en apenas cinco minutos.

Cinco minutos. Eso fue lo que tardó alguien en vaciar entre 18 y 24 millones de dólares de Ostium, un exchange descentralizado de derivados. El atacante no rompió una billetera ni explotó un fallo de código en el sentido habitual: explotó un precio que todavía no había ocurrido.

Ostium funciona sobre Arbitrum y permite abrir contratos perpetuos con apalancamiento de hasta 200x sobre materias primas, pares de divisas e índices bursátiles, liquidados en USDC. A mediados de 2026 la plataforma había procesado más de 50.000 millones de dólares en volumen acumulado y había levantado 24 millones en una ronda Serie A liderada por General Catalyst y Jump Crypto en diciembre de 2025.

El 15 de julio, entre las 14:18 y las 14:23 UTC, alguien tomó el control de un firmante autorizado del oráculo, el componente que alimenta al protocolo con precios en tiempo real. A través de la automatización PriceUpKeep, construida sobre la red Gelato, entraron en la cadena reportes de precio con marca de tiempo futura. El verificador solo comprobaba si el reporte llevaba una firma válida de un firmante de confianza, nunca si ese precio podía existir realmente en ese momento. Las operaciones se abrían y cerraban al instante con ganancia garantizada, y la bóveda de liquidez compartida pagó USDC real por beneficios que nunca se generaron.

Las estimaciones de la pérdida varían según la firma: SlowMist la sitúa en 11,86 millones, Blockaid en unos 18 millones, Cyvers en 23,7 millones y PeckShield, tras rastrear los fondos, cerca de 24 millones. La cofundadora de Ostium, Kaledora Kiernan-Linn, confirmó el incidente y dijo que el equipo lo detectó "en minutos", detuvo el trading y avisó a las autoridades. No ha dicho si la causa fue una clave robada o alguien con acceso interno actuando de mala fe, y Ostium todavía no ha anunciado ningún plan para compensar a los usuarios.

No es un caso aislado. Cuatro días antes, Bonzo Finance, en Hedera, perdió 9 millones por un oráculo de precios expuesto de Supra, a pesar de que Supra ya había parcheado la misma falla en otras 11 redes. Un día antes de eso, Summer Finance perdió 6 millones por manipulación de precios y anunció el cierre tras siete años de actividad. Según analistas de seguridad, el sector DeFi perdió más de 900 millones de dólares en 87 incidentes solo durante el primer semestre de 2026, y más del 80% se debió a claves comprometidas o ataques a puentes, no a fallos en la lógica del contrato inteligente.

La ironía es que el código de Ostium hizo exactamente lo que debía hacer: confiar en una firma que estaba programado para confiar. El eslabón débil no fue el contrato, sino la suposición de que quien tiene la clave correcta dice la verdad sobre el precio. Hasta que los oráculos empiecen a comprobar no solo quién firmó un número, sino si ese número podía existir todavía, este tipo de ataque seguirá repitiéndose.

Preguntas y respuestas

Preguntas frecuentes sobre este artículo

¿Qué le pasó a Ostium?

El 15 de julio de 2026, un atacante tomó el control del firmante del oráculo de precios de Ostium, un exchange descentralizado de derivados en Arbitrum, y vació entre 18 y 24 millones de dólares de su bóveda de liquidez en unos cinco minutos. La plataforma detuvo el trading de inmediato.

¿Cómo funcionó el ataque de 'precios del futuro'?

El atacante envió, a través de la automatización PriceUpKeep, reportes de precio con marca de tiempo futura. El protocolo solo verificaba si el reporte tenía una firma válida de un firmante de confianza, nunca si ese precio podía existir realmente en ese momento, lo que permitió abrir y cerrar operaciones con ganancia garantizada.

¿Cuánto dinero se perdió realmente?

Las cifras varían según la firma: SlowMist calcula 11,86 millones, Blockaid unos 18 millones, Cyvers 23,7 millones, y PeckShield, tras rastrear los fondos, casi 24 millones. Ostium no ha confirmado una cifra oficial.

¿Forma parte de una tendencia más amplia de hackeos DeFi?

Sí. Días antes, Bonzo Finance perdió 9 millones por una falla similar en su oráculo, y Summer Finance perdió 6 millones y anunció su cierre. El sector DeFi perdió más de 900 millones de dólares en 87 incidentes solo en el primer semestre de 2026.