Ostium perd jusqu'à 24 millions de dollars pour des prix qui n'existaient pas

iEXExchanger
Ostium perd jusqu'à 24 millions de dollars pour des prix qui n'existaient pas

Un attaquant a pris le contrôle de l'oracle de prix d'Ostium et a négocié sur des cours du futur, vidant entre 18 et 24 millions de dollars de cette plateforme DeFi sur Arbitrum en cinq minutes.

Cinq minutes. C'est le temps qu'il a fallu à un attaquant pour vider entre 18 et 24 millions de dollars d'Ostium, une plateforme d'échange décentralisée de produits dérivés. Il n'a pas piraté un portefeuille ni exploité une faille de code classique : il a exploité un prix qui n'existait pas encore.

Ostium tourne sur Arbitrum et permet d'ouvrir des contrats perpétuels avec un effet de levier allant jusqu'à 200x sur des matières premières, des paires de devises et des indices boursiers, réglés en USDC. À la mi-2026, la plateforme avait traité plus de 50 milliards de dollars de volume cumulé et avait levé 24 millions de dollars lors d'un tour de série A mené par General Catalyst et Jump Crypto en décembre 2025.

Le 15 juillet, entre 14h18 et 14h23 UTC, quelqu'un a pris le contrôle d'un signataire autorisé de l'oracle, le composant chargé d'alimenter le protocole en prix en temps réel. Via l'automatisation PriceUpKeep, construite sur le réseau Gelato, des rapports de prix portant un horodatage futur ont été intégrés à la chaîne. Le vérificateur contrôlait seulement si le rapport portait une signature valide d'un signataire de confiance, jamais si ce prix pouvait réellement exister à cet instant. Les positions s'ouvraient et se fermaient instantanément avec un profit garanti, et le coffre de liquidité commun a payé de véritables USDC pour des gains qui n'avaient jamais été réalisés.

Les estimations de pertes varient selon les sociétés : SlowMist l'évalue à 11,86 millions, Blockaid à environ 18 millions, Cyvers à 23,7 millions, et PeckShield, après avoir retracé les fonds, à près de 24 millions. La cofondatrice d'Ostium, Kaledora Kiernan-Linn, a confirmé l'incident et affirmé que l'équipe l'avait repéré « en quelques minutes », avait suspendu le trading et alerté les autorités. Elle n'a pas précisé si la cause était une clé volée ou un opérateur interne malveillant, et Ostium n'a annoncé aucun plan pour indemniser les utilisateurs.

Ce n'est pas un cas isolé. Quatre jours plus tôt, Bonzo Finance, sur Hedera, avait perdu 9 millions de dollars à cause d'un oracle de prix exposé de Supra, alors même que Supra avait déjà corrigé la même faille sur onze autres réseaux. La veille, Summer Finance avait perdu 6 millions de dollars par manipulation de prix et annoncé sa fermeture après sept ans d'activité. Selon des chercheurs en sécurité, le secteur DeFi a perdu plus de 900 millions de dollars sur 87 incidents rien qu'au premier semestre 2026, plus de 80 % étant liés à des clés compromises ou des attaques de ponts, et non à des failles dans la logique des contrats intelligents.

L'ironie, c'est que le code d'Ostium a fait exactement ce pour quoi il était programmé : faire confiance à une signature qu'il était censé croire. Le maillon faible n'était pas le contrat, mais l'idée que celui qui détient la bonne clé dit forcément la vérité sur le prix. Tant que les oracles ne vérifieront pas seulement qui a signé un chiffre, mais si ce chiffre pouvait déjà exister, ce genre d'attaque continuera de se reproduire.

Questions et réponses

Questions fréquemment posées sur le sujet de l'article

Que s'est-il passé chez Ostium ?

Le 15 juillet 2026, un attaquant a pris le contrôle du signataire de l'oracle de prix d'Ostium, une plateforme d'échange décentralisée de produits dérivés sur Arbitrum, et a vidé entre 18 et 24 millions de dollars de son coffre de liquidité en environ cinq minutes. La plateforme a immédiatement suspendu le trading.

Comment l'attaque des « prix du futur » a-t-elle fonctionné ?

Via l'automatisation PriceUpKeep, l'attaquant a soumis des rapports de prix portant un horodatage futur. Le protocole vérifiait seulement si le rapport portait une signature valide d'un signataire de confiance, jamais si ce prix pouvait réellement exister à cet instant, ce qui a permis d'ouvrir et fermer des positions avec un profit garanti.

Combien d'argent a réellement été perdu ?

Les chiffres varient selon les sociétés : SlowMist évalue la perte à 11,86 millions, Blockaid à environ 18 millions, Cyvers à 23,7 millions, et PeckShield, après avoir retracé les fonds, à près de 24 millions. Ostium n'a confirmé aucun chiffre officiel.

Cela fait-il partie d'une tendance plus large de piratages DeFi ?

Oui. Quelques jours plus tôt, Bonzo Finance avait perdu 9 millions à cause d'une faille similaire de son oracle, et Summer Finance avait perdu 6 millions avant d'annoncer sa fermeture. Le secteur DeFi a perdu plus de 900 millions de dollars en 87 incidents rien qu'au premier semestre 2026.