П'ять хвилин — саме стільки знадобилося невідомому, щоб вивести з децентралізованої біржі Ostium від 18 до 24 мільйонів доларів. Атака спрацювала не через злом гаманця чи типову вразливість коду, а через ціну, якої фізично ще не існувало.
Ostium — DeFi-платформа на Arbitrum, де трейдери відкривають безстрокові контракти з плечем до 200x на сировину, валютні пари й фондові індекси, а розрахунки йдуть у USDC. До літа 2026 року через біржу пройшло понад $50 млрд обороту, а в грудні 2025-го проєкт залучив $24 млн від General Catalyst і Jump Crypto.
15 липня, між 14:18 і 14:23 за UTC, хтось отримав контроль над авторизованим підписантом оракула — сервісом, який постачає біржі актуальні ціни активів. Через автоматизацію PriceUpKeep на базі мережі Gelato в систему потрапили цінові звіти з міткою часу з майбутнього. Перевірка підпису їх пропустила: протокол звіряв, що дані підписані потрібним ключем, але не перевіряв, чи могла ця ціна взагалі існувати в момент запиту. Угоди відкривались і миттєво закривались із гарантованим прибутком, а спільний пул ліквідності платив справжніми грошима за виграші, яких насправді не було.
Оцінки збитків різняться: SlowMist називає $11,86 млн, Blockaid — близько $18 млн, Cyvers — $23,7 млн, а PeckShield після відстеження руху коштів — майже $24 млн. Співзасновниця Ostium Каледора Кірнан-Лінн підтвердила інцидент і заявила, що команда помітила проблему «протягом кількох хвилин», торгівлю зупинили, а до розслідування залучили правоохоронців. Що стало причиною — вкрадений ключ підписанта чи дії недобросовісного оператора всередині системи — проєкт поки не розкрив, як і плани компенсації користувачам.
Ostium — не перша жертва такої схеми цього місяця. Чотирма днями раніше протокол Bonzo Finance на Hedera втратив $9 млн через подібну вразливість оракула від Supra, хоча вразливі версії на 11 інших мережах на той момент уже залатали. А напередодні DeFi-сервіс Summer Finance втратив $6 млн через маніпуляцію цінами й оголосив, що згортається після семи років роботи. За даними аналітиків, за першу половину 2026 року DeFi-сектор втратив понад $900 млн у 87 інцидентах, і понад 80% з них пов'язані саме з компрометацією ключів чи атаками на мости, а не з багами в коді смарт-контрактів.
Виходить парадокс: смарт-контракти Ostium відпрацювали рівно так, як їх запрограмували, — повірили підпису, якому мали довіряти. Слабким місцем виявився не код, а сама архітектура довіри до зовнішніх джерел даних. Поки протоколи не навчаться перевіряти не лише «хто підписав», а й «чи могло це взагалі бути правдою», подібні історії з оракулами повторюватимуться.



