
Les prix futurs ont trompé l'oracle, Ostium vidé de 24 millions de dollars en cinq minutes
TechFlow SélectionTechFlow Sélection

Les prix futurs ont trompé l'oracle, Ostium vidé de 24 millions de dollars en cinq minutes
Ostium n'a toujours pas publié le calcul final des pertes et le rapport post-incident, laissant planer de grands doutes quant à l'abus de privilèges des signataires.
Auteur : CryptoSlate
Traduction : TechFlow
Note de la rédaction TechFlow : Il ne s'agit pas d'une signature manquante, mais d'un signataire autorisé ayant soumis des données de prix « venant du futur ». Lorsque la validation réussit mais que les données elles-mêmes sont toxiques, où se trouve le fossé défensif des protocoles DeFi ? Ostium n'a toujours pas publié le calcul final des pertes ni le rapport post-mortem, laissant planer un énorme doute sur l'abus de privilèges des signataires.
La plateforme de trading perpétuel on-chain Ostium a déclaré qu'un incident de sécurité durant cinq minutes a entraîné des pertes pour son vault de liquidité publique. Les sociétés de sécurité estiment l'ampleur de la vulnérabilité à jusqu'à 24 millions de dollars.
La co-fondatrice Kaledora Kiernan-Linn a confirmé que le problème s'est produit le 15 juillet entre 14:18 et 14:23 UTC, affectant le vault public Ostium Liquidity Provider (OLP). Elle a indiqué que l'équipe a détecté le problème en quelques minutes et a coordonné la suspension des transactions en une heure. Le communiqué n'a fourni ni le montant exact des pertes totales, ni la cause racine, ni un rapport post-mortem final.
Les sociétés de sécurité affirment que le cœur de l'incident concerne des données autorisées, et non des signatures manquantes. Blockaid et Cyvers ont indiqué qu'un transmetteur PriceUpKeep enregistré a soumis un rapport d'oracle autorisé avec une date future, créant des profits de trading fictifs.
SlowMist a déclaré que des signataires autorisés ont fourni des données manipulées avec des signatures valides, utilisées pour des transactions profitables répétées. Ces descriptions restent des découvertes tierces, en attente de confirmation par le rapport post-mortem d'Ostium.
L'authentification cryptographique peut confirmer que le rapport est signé par une clé autorisée. Mais la rationalité des prix, la fraîcheur des horodatages et la sécurité du règlement nécessitent des contrôles séparés.
Le code OstiumVerifier lié depuis la documentation de sécurité d'Ostium récupère le signataire ECDSA et vérifie si le signataire est autorisé, mais cette fonction de validation n'impose pas de tests de rationalité des prix ni de limites d'horodatage.
Le code ne semble pas indiquer quelle version d'implémentation était active pendant l'incident, ni si des contrats séparés appliquaient ces vérifications. Toute protection contre les horodatages, les rejeux, les écarts de prix ou les sources multiples doit fonctionner ailleurs dans le chemin d'exécution.
Même si le cours de l'action ne bouge pas, les actions tokenisées en tant que garantie peuvent échouer
La documentation du protocole d'Ostium indique que le vault OLP détient les garanties des traders et paie instantanément les transactions gagnantes on-chain. Si des profits fictifs sont acceptés pour règlement, la liquidité du vault paie pour ces transactions.

Les estimations publiques continuent d'augmenter à mesure que l'enquête progresse. Blockaid estime les paiements proches de 18 millions de dollars, Cyvers estime à 23,7 millions de dollars, PeckShield a ensuite décrit environ 24 millions de dollars comme ayant été retirés.
Le chiffre plus bas de 11,86 millions de dollars de SlowMist semble suivre une sortie de vault de 11 862 444,782 USDC visible dans les transactions qu'il cite.
Une nouvelle vulnérabilité DeFi chez SummerFi montre que l'automatisation IA surpasse désormais les risques de contrats intelligents
PeckShield a déclaré que les USDC retirés ont été échangés contre 12 080 ETH, et qu'à la date de sa mise à jour, 10 540 ETH étaient entrés dans Tornado Cash. Kiernan-Linn a indiqué qu'Ostium collaborait avec les forces de l'ordre, SEAL 911 et des experts en sécurité tiers.
Ce mécanisme distingue Ostium d'un problème similaire survenu il y a quatre jours sur le protocole de prêt Hedera Bonzo Lend. Le rapport d'incident de Bonzo indique que son validateur a accepté une preuve sans signature valide. Dans le cas d'Ostium, les sociétés de sécurité affirment que le rapport a passé la voie du signataire autorisé : l'authentification a réussi, mais les données seraient non sécurisées.
Comment un oracle à signature nulle a débloqué 9 millions de dollars depuis le protocole de prêt DeFi Hedera Bonzo Lend
Ostium doit toujours confirmer si la clé du signataire a été compromise, si l'opérateur autorisé a agi malveillamment, ou si d'autres voies privilégiées ont été abusées.
L'efficacité de ses mesures de correctif sera jugée sur la capacité de l'isolement des signataires, des limites d'horodatage strictes, des vérifications de prix indépendantes, des limites de débit et des mécanismes de disjoncteur à empêcher une voie de confiance de transformer quelques minutes de mauvaises données en un autre paiement de vault.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














