Pięć minut — tyle zajęło nieznanemu sprawcy wyprowadzenie z zdecentralizowanej giełdy Ostium od 18 do 24 milionów dolarów. Atak nie polegał na włamaniu do portfela ani na typowym błędzie w kodzie — sprawca wykorzystał cenę, która jeszcze fizycznie nie istniała.
Ostium działa na Arbitrum i pozwala otwierać kontrakty wieczyste z dźwignią do 200x na surowce, pary walutowe i indeksy giełdowe, rozliczane w USDC. Do połowy 2026 roku przez giełdę przeszło ponad 50 mld dolarów obrotu, a w grudniu 2025 projekt pozyskał 24 mln dolarów w rundzie serii A prowadzonej przez General Catalyst i Jump Crypto.
15 lipca, między 14:18 a 14:23 UTC, ktoś przejął kontrolę nad autoryzowanym sygnatariuszem wyroczni — elementem odpowiedzialnym za dostarczanie protokołowi bieżących cen. Za pośrednictwem automatyzacji PriceUpKeep, opartej na sieci Gelato, do łańcucha trafiły raporty cenowe ze znacznikiem czasu z przyszłości. Weryfikator sprawdzał wyłącznie, czy raport ma ważny podpis zaufanego sygnatariusza — nigdy, czy taka cena mogła w ogóle istnieć w danym momencie. Transakcje otwierały się i zamykały natychmiast z gwarantowanym zyskiem, a wspólny skarbiec płynności wypłacał prawdziwe USDC za zyski, których nigdy nie było.
Szacunki strat różnią się w zależności od firmy: SlowMist podaje 11,86 mln, Blockaid około 18 mln, Cyvers 23,7 mln, a PeckShield po prześledzeniu środków — blisko 24 mln. Współzałożycielka Ostium, Kaledora Kiernan-Linn, potwierdziła incydent i powiedziała, że zespół wykrył go „w ciągu kilku minut”, wstrzymał handel i zaangażował organy ścigania. Nie ujawniła, czy przyczyną była wykradziona klucz sygnatariusza, czy działanie nieuczciwego operatora wewnątrz systemu, a Ostium nie ogłosiło jeszcze żadnego planu rekompensat dla użytkowników.
Ostium nie jest odosobnionym przypadkiem w tym miesiącu. Cztery dni wcześniej protokół Bonzo Finance na Hedera stracił 9 mln dolarów przez podobną lukę w wyroczni od Supra, mimo że Supra załatała już tę samą wadę na 11 innych sieciach. Dzień wcześniej usługa DeFi Summer Finance straciła 6 mln dolarów przez manipulację cenami i ogłosiła zamknięcie po siedmiu latach działalności. Według analityków bezpieczeństwa sektor DeFi stracił ponad 900 mln dolarów w 87 incydentach tylko w pierwszej połowie 2026 roku, a ponad 80% z nich wiązało się z przejętymi kluczami lub atakami na mosty, a nie z błędami w logice smart kontraktów.
Paradoks polega na tym, że kod Ostium zrobił dokładnie to, do czego został zaprogramowany — zaufał podpisowi, któremu miał ufać. Słabym ogniwem nie był kontrakt, lecz samo założenie, że posiadacz właściwego klucza mówi prawdę o cenie. Dopóki wyrocznie nie zaczną sprawdzać nie tylko tego, kto podpisał liczbę, ale i czy ta liczba mogła już istnieć, takie ataki będą się powtarzać.



