Los precios del futuro engañan al oráculo, Ostium vaciado de 24 millones de dólares en cinco minutos

marsbitPublicado a 2026-07-17Actualizado a 2026-07-17

Resumen

El protocolo de trading de perpetuos Ostium sufrió un incidente de seguridad de cinco minutos el 15 de julio, resultando en pérdidas significativas para su tesorería pública de proveedores de liquidez. Empresas de seguridad como Blockaid y Cyvers estiman el alcance de la explotación en aproximadamente 24 millones de dólares, atribuyéndola a un "oráculo con datos del futuro". Según los análisis, un transmisor de precios autorizado envió un informe de oráculo firmado válidamente, pero que contenía precios con marcas de tiempo futuras, generando así ganancias comerciales falsas. Aunque la autenticación criptográfica confirmó que la firma provenía de una clave autorizada, el protocolo aparentemente carecía de controles separados para verificar la racionalidad del precio, la vigencia de la marca de tiempo o la seguridad de la liquidación. Este fallo permitió liquidar estas ganancias falsas contra la tesorería de liquidez. Los fondos extraídos, principalmente en USDC, fueron cambiados por ETH y una parte significativa fue mezclada a través de Tornado Cash. El equipo de Ostium detuvo el trading en una hora y está colaborando con autoridades y expertos en seguridad. El incidente destaca la importancia de medidas adicionales como límites estrictos de tiempo, verificaciones de precios independientes y mecanismos de freno, incluso cuando los datos provienen de fuentes firmadas y autorizadas.

Autor: CryptoSlate

Compilación: Deep Tide TechFlow

Guía de Deep Tide: No se trata de una firma faltante, sino de que un firmante autorizado envió datos de precios "del futuro". Cuando la verificación pasa pero los datos en sí son tóxicos, ¿dónde está el foso defensivo del protocolo DeFi? Ostium aún no ha publicado el balance final de pérdidas ni un informe post-mortem, dejando una gran duda sobre el abuso de permisos de los firmantes.

La plataforma de trading de perpetuos on-chain Ostium informó que un incidente de seguridad de cinco minutos causó pérdidas en su tesorería pública de liquidez. Firmas de seguridad estiman que la escala del exploit alcanza los 24 millones de dólares.

La cofundadora Kaledora Kiernan-Linn confirmó que el problema ocurrió entre las 14:18 y las 14:23 UTC del 15 de julio, afectando a la tesorería pública de Proveedores de Liquidez de Ostium (OLP). Declaró que el equipo detectó el problema en minutos y coordinó la pausa del trading en menos de una hora. La declaración no proporcionó el monto total exacto de las pérdidas, la causa raíz o un informe post-mortem final.

Firmas de seguridad afirman que el núcleo del incidente fue la autorización de datos, no la falta de firmas. Blockaid y Cyvers indican que un reenviador registrado de PriceUpKeep presentó un informe de oráculo autorizado con fechas futuras, creando ganancias comerciales falsas.

SlowMist afirma que un firmante autorizado proporcionó datos manipulados con firmas válidas, utilizados para transacciones repetidas y rentables. Estas descripciones siguen siendo hallazgos de terceros, pendientes de confirmación por el informe post-mortem de Ostium.

La autenticación criptográfica puede confirmar que un informe fue firmado por una clave permitida. Pero la racionalidad del precio, la frescura del timestamp y la seguridad de la liquidación requieren medidas de control separadas.

El código de OstiumVerifier, enlazado desde la documentación de seguridad de Ostium, recupera al firmante ECDSA y verifica si está autorizado, pero esa función de verificación no aplica pruebas de racionalidad de precios ni límites de timestamp.

El código parece no indicar qué versión de implementación estaba activa durante el incidente, o si un contrato separado aplicaba estos controles. Cualquier medida de protección contra timestamps, repetición, desviación de precios o múltiples fuentes debe ejecutarse en otra parte de la ruta de ejecución.

Incluso sin movimiento del precio, las acciones tokenizadas como colateral fallan

La documentación del protocolo de Ostium establece que la tesorería OLP mantiene el colateral de los traders y paga las operaciones ganadoras al instante on-chain. Si se aceptan liquidar ganancias falsas, la liquidez de la tesorería financia esos pagos.

Las estimaciones públicas aumentaron a medida que continuaba el rastreo. Blockaid considera que los pagos se acercaron a los 18 millones de dólares, Cyvers estima 23.7 millones, y PeckShield luego describió que se extrajeron unos 24 millones.

La cifra más baja de SlowMist, 11.86 millones de dólares, parece rastrear un único flujo saliente de la tesorería de 11,862,444.782 USDC visible en la transacción que citan.

Nueva vulnerabilidad DeFi de SummerFi muestra que la automatización con IA ahora supera al riesgo del contrato inteligente

PeckShield afirma que el USDC extraído se cambió por 12,080 ETH, y al momento de su actualización, 10,540 ETH ya habían entrado en Tornado Cash. Kiernan-Linn declaró que Ostium está colaborando con las fuerzas del orden, SEAL 911 y expertos en seguridad de terceros.

Este mecanismo distingue a Ostium del problema similar ocurrido cuatro días antes en el protocolo de préstamos de Hedera, Bonzo Lend. El informe del incidente de Bonzo indicó que su validador aceptó una prueba sin una firma válida. En el caso de Ostium, las firmas de seguridad afirman que el informe pasó por la ruta del firmante autorizado: la autenticación fue exitosa, pero los datos supuestamente no eran seguros.

Cómo un oráculo sin firmas desbloqueó 9 millones de dólares del protocolo de préstamos DeFi de Hedera, Bonzo Lend

Ostium aún debe confirmar si la clave del firmante fue comprometida, si un operador autorizado actuó maliciosamente, o si se abusó de otra ruta privilegiada.

La efectividad de sus medidas correctivas se juzgará por si el aislamiento de firmantes, límites estrictos de timestamp, controles de precios independientes, limitación de tasas y mecanismos de circuito de freno pueden evitar que una ruta de confianza convierta unos minutos de datos maliciosos en otro pago masivo de la tesorería.

Preguntas relacionadas

Q¿Qué sucedió con el protocolo DeFi Ostium según el artículo?

AEl protocolo de trading perpetuo on-chain Ostium sufrió un incidente de seguridad de cinco minutos que vació su tesorería pública de liquidez, con estimaciones de pérdidas de hasta 24 millones de dólares. Un remitente de oráculo autorizado envió datos de precios con fechas futuras, creando ganancias de trading falsas que fueron liquidadas por el tesoro.

Q¿Cuál fue la causa fundamental del exploit en Ostium, según las firmas de seguridad citadas?

ALa causa fundamental no fue la falta de una firma, sino que un remitente autorizado (PriceUpKeep) presentó un informe de oráculo autorizado pero manipulado, con datos de precios con marcas de tiempo futuras. La verificación criptográfica confirmó la firma autorizada, pero el protocolo carecía de controles suficientes para validar la razonabilidad del precio o la frescura de la marca de tiempo.

Q¿Cómo se diferencia el incidente de Ostium del ocurrido en Bonzo Lend días antes?

AEl incidente en Bonzo Lend se debió a que su validador aceptó una prueba sin una firma válida. En cambio, en el caso de Ostium, el informe del oráculo pasó la verificación de firma de un firmante autorizado; la autenticación fue exitosa, pero los datos en sí mismos estaban manipulados y eran tóxicos.

Q¿Qué medidas correctivas se sugieren para prevenir futuros incidentes como este?

AEl artículo sugiere que las medidas correctivas deben incluir: el aislamiento de los firmantes, la imposición de límites estrictos en las marcas de tiempo, verificaciones de precios independientes, límites de tasa (rate limiting) y mecanismos de interruptor de circuito (circuit breaker) para evitar que un canal de confianza convierta unos minutos de datos maliciosos en grandes pérdidas para la tesorería.

Q¿Qué hicieron los atacantes con los fondos sustraídos del tesoro de Ostium?

ASegún la firma de seguridad PeckShield, los atacantes convirtieron los USDC extraídos en 12,080 ETH, y en el momento del informe, ya habían enviado 10,540 ETH a Tornado Cash, un mezclador de criptomonedas que ofrece privacidad.

Lecturas Relacionadas

Quién está construyendo el futuro de Ethereum: Las empresas holding se hacen cargo, y podría ser lo mejor que le haya pasado a ETH en años

**Ethereum encuentra nuevos patrocinadores corporativos** Ante la reducción de presupuesto y personal de la Fundación Ethereum por sostenibilidad financiera, compañías con grandes tenencias de ETH están tomando la iniciativa de financiar el desarrollo del protocolo. Bitmine (con 5.77M de ETH) y SharpLink (con 876k de ETH), respaldadas por Joe Lubin (cofundador de Ethereum), están creando y financiando nuevas entidades como ETH Labs y Ethereum Institutional. Estas "compañías de tesorería" (DAT), cuyo modelo anterior de emitir acciones para comprar más ETH se estancó, ahora utilizan parte de los ingresos generados por el staking de sus ETH (estimados en $284M anuales para Bitmine) para financiar la investigación y el desarrollo de Ethereum. Esto crea un nuevo modelo donde los poseedores de ETH se benefician indirectamente de esta inversión en la infraestructura. El análisis presenta dos caras: es positivo que el desarrollo tenga un flujo de financiación sostenible alineado con el precio de ETH, pero también arriesgado, ya que depende de la salud financiera de estas compañías, actualmente con pérdidas no realizadas significativas y valuadas por debajo de sus activos netos. En esencia, el liderazgo del desarrollo de Ethereum se está transfiriendo de la Fundación a actores corporativos con un interés económico directo en su éxito.

marsbitHace 5 min(s)

Quién está construyendo el futuro de Ethereum: Las empresas holding se hacen cargo, y podría ser lo mejor que le haya pasado a ETH en años

marsbitHace 5 min(s)

'El 40% del suministro a largo plazo está en pérdidas' – Por qué Fidelity prevé el fondo del ciclo de Bitcoin

Tras una prolongada caída desde octubre, Bitcoin muestra signos de estar formando un fondo de ciclo, según el analista de Fidelity, Zack Wainwright. Los tenedores a largo plazo poseen un récord cercano a 15 millones de BTC, y más del 40% de este suministro está en pérdidas, un nivel históricamente asociado con los procesos de suelo del mercado. Aunque el promedio de 30 días de suministro en pérdida llegó al 50% recientemente, y patrones pasados sugieren un fondo entre el 46%-56%, los analistas advierten que factores macroeconómicos podrían limitar la recuperación. La demanda de los ETFs spot de Bitcoin en EE.UU. se mantiene débil, con salidas netas persistentes, especialmente de grandes gestores como BlackRock y Fidelity. Esto, sumado al bajo volumen comercial, sugiere que cualquier repunte sostenido requerirá un retorno de la demanda institucional. Actualmente, BTC cotiza alrededor de $62,8K, cerca de borrar las ganancias recientes. El posicionamiento en opciones refleja cautela: hay un alto volumen de puts (apuestas bajistas) dirigidas a $62,5K y $56K, lo que indica cobertura ante posibles caídas. También existen llamadas (apuestas alcistas) apuntando a $68K y $79K, señalando una expectativa de rango lateral entre $55K y $70K en el corto plazo. En general, el nivel de $60K se perfila como un soporte clave y un posible fondo de ciclo, aunque no se descartan movimientos bruscos por debajo de este nivel ante presiones macroeconómicas.

ambcryptoHace 14 min(s)

'El 40% del suministro a largo plazo está en pérdidas' – Por qué Fidelity prevé el fondo del ciclo de Bitcoin

ambcryptoHace 14 min(s)

Trading

Spot
活动图片