Des prix futurs trompent l'oracle, Ostium vidé de 24 millions de dollars en cinq minutes
Ostium, une plateforme de trading perpétuel sur blockchain, a subi un incident de sécurité de cinq minutes le 15 juillet, entraînant des pertes importantes sur son trésor de liquidités publiques. Les estimations des sociétés de sécurité varient entre 18 et 24 millions de dollars.
Selon les analyses préliminaires de Blockaid, Cyvers et autres, l'exploitation n'était pas due à une signature manquante, mais à des données autorisées mais falsifiées. Un relais (PriceUpKeep) habilité aurait soumis un rapport d'oracle signé valide mais contenant des prix datés du futur, créant ainsi de faux profits sur des trades. Le code de vérification du protocole a confirmé la signature autorisée, mais n'a apparemment pas appliqué de contrôles de validité sur les prix ou les horodatages.
Ces profits frauduleux ont ensuite été réglés par le trésor OLP (Ostium Liquidity Provider), qui paie les gains des traders sur la chaîne. Les fonds extraits, principalement en USDC, ont été convertis en ETH et une grande partie a été mixée via Tornado Cash.
L'équipe d'Ostium a réagi rapidement, suspendant les trades en une heure et collaborant avec les autorités. Cependant, le rapport post-mortem complet, précisant le montant final des pertes et la cause racine (clé compromise, acteur malveillant autorisé, etc.), n'a pas encore été publié. Les correctifs potentiels évoqués incluent l'isolation des signataires, des contrôles de prix stricts et des limites de taux.
marsbitIl y a 27 mins