Ostium reporta un incidente de seguridad en su bóveda OLP por manipulación de oráculos en Arbitrum

El protocolo de derivados descentralizados Ostium sufrió una explotación en su bóveda pública OLP (Ostium Liquidity Pool) sobre la red Arbitrum, lo que resultó en la extracción no autorizada de fondos. Los registros on-chain y la cobertura inicial de seguridad sitúan el monto drenado entre los 18 y los 24 millones de dólares en stablecoins, con 23,75 millones de USDC identificados como el pago directo ejecutado por los contratos del protocolo.
#PeckShieldAlert Specter has reported that @LayerZero_Core Executor wallets appear to have been compromised, resulting in $2.4M worth of crypto drained across multiple chains, including #BNBChain, #Base, #Arbitrum, #Avalanche, #Optimism, #Mantle, #Plasma, and #Ethereum.
The… pic.twitter.com/ZTtAho4Nka
— PeckShieldAlert (@PeckShieldAlert) July 15, 2026
La operación en la blockchain aprovechó la dependencia del sistema de precios de Ostium para generar beneficios artificiales y activar un desembolso automático desde la bóveda. Según el análisis técnico disponible, el responsable utilizó un forwarder registrado como PriceUpKeep combinado con un reporte de oráculo autorizado con fecha futura. Esta configuración permitió alterar los feeds de datos que alimentan la plataforma, creando posiciones ficticias rentables que el contrato interpretó como legítimas y ejecutó sin requerir validación externa inmediata.
La secuencia de transacciones ocurrió en una ventana comprimida de cinco minutos, entre las 14:18 y las 14:23 UTC. El equipo de Ostium confirmó el incidente poco después, señalando que detectó la anomalía en el mismo intervalo y procedió a pausar los contratos de negociación en menos de una hora para contener la salida de capital. Las operaciones de trading permanecen suspendidas mientras continúa la investigación técnica, tal como lo indican los reportes de monitoreo de firmas de seguridad y las comunicaciones oficiales del proyecto.
Los rastreadores on-chain observaron que los fondos extraídos fueron convertidos inmediatamente de USDC a ETH. La mayor parte de estos activos fue transferida posteriormente a servicios de mezcla como Tornado Cash, una ruta que dificulta la trazabilidad directa y suele indicar operaciones de saneamiento de activos. El alcance exacto de la pérdida final depende de la reconciliación entre los registros directos de la bóveda y el valor total restante, por lo que la cifra debe tratarse como preliminar hasta que se publique el análisis forense correspondiente.
Ostium declaró que está colaborando con fuerzas del orden, el equipo SEAL 911 y expertos externos en ciberseguridad. El protocolo no ha publicado aún un cronograma de reembolsos ni la reactivación de los retiros o la negociación. La confirmación de una posible vulnerabilidad en las claves de firma del oráculo o en la arquitectura del feed de precios sigue pendiente del postmortem oficial y de la verificación técnica interna que corresponda.






