Auteur : CryptoSlate
Compilation : Deep Tide TechFlow
Guide Deep Tide : Ce n'est pas une absence de signature, mais un signataire autorisé a soumis des données de prix "issues du futur". Lorsque la vérification réussit mais que les données elles-mêmes sont toxiques, où se trouve le fossé protecteur des protocoles DeFi ? Ostium n'a toujours pas publié le bilan final des pertes ni un rapport d'incident, laissant planer un énorme doute sur l'abus de privilèges du signataire.
La plateforme de trading perpétuel sur chaîne Ostium a déclaré qu'un incident de sécurité de cinq minutes avait entraîné des pertes pour son trésor public de liquidités. Les entreprises de sécurité estiment l'ampleur de l'exploit à 24 millions de dollars.
La cofondatrice Kaledora Kiernan-Linn a confirmé que le problème s'est produit le 15 juillet entre 14:18 et 14:23 UTC, affectant le trésor public des fournisseurs de liquidités Ostium (OLP). Elle a déclaré que l'équipe avait identifié le problème en quelques minutes et coordonné la suspension des transactions en moins d'une heure. La déclaration n'a pas fourni le montant exact des pertes, la cause première ou un rapport d'incident final.
Les entreprises de sécurité affirment que le cœur de l'incident réside dans les données autorisées, et non dans une signature manquante. Blockaid et Cyvers indiquent qu'un transmetteur PriceUpKeep enregistré a soumis un rapport d'oracle autorisé avec une date future, créant ainsi de faux profits commerciaux.
SlowMist déclare qu'un signataire autorisé a fourni des données manipulées avec une signature valide, utilisées pour des transactions rentables répétées. Ces descriptions restent des découvertes tierces, en attente de confirmation par le rapport d'incident d'Ostium.
L'authentification cryptographique peut confirmer qu'un rapport a été signé par une clé autorisée. Mais la rationalité des prix, la fraîcheur des horodatages et la sécurité des règlements nécessitent des mesures de contrôle distinctes.
Le code OstiumVerifier, lié à la documentation de sécurité d'Ostium, récupère le signataire ECDSA et vérifie si le signataire est autorisé, mais cette fonction de vérification n'applique pas de test de rationalité des prix ni de limites d'horodatage.
Le code ne semble pas indiquer quelle version de l'implémentation était active pendant l'incident, ni si un contrat séparé appliquait ces vérifications. Toute mesure de protection concernant l'horodatage, la relecture, l'écart de prix ou les sources multiples doit être exécutée ailleurs dans le chemin d'exécution.
Même si les actions ne bougent pas, les actions tokenisées comme collatéral peuvent échouer
La documentation du protocole Ostium indique que le trésor OLP détient le collatéral des traders et paie instantanément sur chaîne les transactions gagnantes. Si de faux profits sont acceptés pour le règlement, la liquidité du trésor paie pour ces versements.

Les estimations publiques ont augmenté avec le suivi. Blockaid estime les paiements proches de 18 millions de dollars, Cyvers à 23,7 millions, PeckShield décrivant plus tard environ 24 millions de dollars siphonnés.
Le chiffre inférieur de 11,86 millions de dollars de SlowMist semble suivre un retrait visible de 11 862 444,782 USDC du trésor dans la transaction qu'il cite.
Une nouvelle vulnérabilité DeFi SummerFi montre que l'automatisation IA dépasse désormais les risques des contrats intelligents
PeckShield rapporte que l'USDC extrait a été échangé contre 12 080 ETH, et qu'au moment de sa mise à jour, 10 540 ETH étaient entrés dans Tornado Cash. Kiernan-Linn a déclaré qu'Ostium collaborait avec les autorités, SEAL 911 et des experts en sécurité tiers.
Ce mécanisme distingue Ostium d'un problème similaire survenu il y a quatre jours sur le protocole de prêt Hedera, Bonzo Lend. Le rapport d'incident de Bonzo indiquait que son vérificateur avait accepté une preuve sans signature valide. Dans le cas d'Ostium, les sociétés de sécurité affirment que le rapport a passé le chemin du signataire autorisé : l'authentification a réussi, mais les données étaient prétendument non sécurisées.
Comment un oracle sans signature a débloqué 9 millions de dollars du protocole de prêt DeFi Hedera Bonzo Lend
Ostium doit encore confirmer si la clé du signataire a été compromise, si l'opérateur autorisé a agi de manière malveillante, ou si un autre chemin privilégié a été abusé.
Les mesures correctives seront jugées sur leur capacité à empêcher qu'un chemin de confiance transforme quelques minutes de mauvaises données en un autre paiement massif du trésor, via l'isolation des signataires, des limites d'horodatage strictes, des vérifications de prix indépendantes, la limitation du débit et les mécanismes de coupe-circuit.





