Il 15 luglio 2026 Ostium, DEX perpetuo per asset reali su Arbitrum, è stato prosciugato per circa 18 milioni di $ in USDC dopo che un attaccante ha compromesso la chiave privata di un firmatario di oracle. L'attaccante ha sfruttato la chiave per inviare report di prezzo futuri favorevoli tramite un forwarder registr...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What caused Ostium to halt trading on Arbitrum, how did the attacker exploit a compromised oracle. Article summary: Here are the fact-checked findings, organized by each of your questions.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
Il 15 luglio 2026, Ostium — un exchange perpetuo decentralizzato (perp DEX) su Arbitrum dedicato al trading di asset del mondo reale (RWA) — è stato colpito da un exploit legato al suo sistema di oracle che ha prosciugato la sua vault di liquidità OLP, costringendo il protocollo a sospendere tutte le negoziazioni . L'attaccante ha compromesso la chiave privata di un firmatario di oracle, una credenziale privilegiata usata per autorizzare l'invio di dati di prezzo, e l'ha utilizzata per generare profitti fittizi che la vault ha poi pagato in veri USDC
. Ecco l'analisi completa dell'accaduto, dell'entità del danno e del perché questo incidente è un caso da manuale del vettore d'attacco dominante del 2026 nella finanza decentralizzata (DeFi).
La società di sicurezza blockchain Blockaid è stata la prima a segnalare l'exploit on-chain, notando che l'attaccante aveva subito iniziato a scambiare gli USDC rubati in ETH tramite Kyber . L'attacco si è sviluppato in tre fasi:
Le stime delle perdite variano tra 12 e 22 milioni di dollari, ma la maggior parte dei report le fissa a circa 18 milioni di $ . Blockaid ha stimato circa 18 milioni di $ di perdite, mentre CertiK ha indicato circa 22 milioni di $; entrambe le società hanno attribuito l'incidente a un compromesso del sistema di oracle di Ostium
.
La percentuale dipende dal valore di riferimento utilizzato e le fonti forniscono cifre diverse:
La cifra più citata è circa il 35% della tesoreria/vault del protocollo, pari a oltre 34 milioni di $ .
Ostium ha raccolto circa 27,8 milioni di dollari da investitori tra cui General Catalyst e Jump Crypto . Sebbene siano stati riportati anche round di finanziamento precedenti, General Catalyst e Jump Crypto sono i due nomi di investitori istituzionali menzionati in relazione a questo exploit
.
L'exploit di Ostium non è una vulnerabilità di contratto intelligente inedita: è un furto di credenziali (chiave privata) utilizzato per manipolare un meccanismo di price feed fidato. Questo lo colloca esattamente nel pattern d'attacco dominante del 2026:
Secondo i dati di DeFiLlama, i progetti blockchain hanno perso collettivamente circa 16,69 miliardi di dollari in hack ed exploit nel corso del tempo, con circa il 40% di queste perdite dovute a compromissioni di chiavi private . Su base cumulativa, oltre 17 miliardi di dollari sono stati rubati in 518 incidenti di furto di chiavi private registrati in dieci anni
.
In conclusione: l'exploit di Ostium è stato un caso da manuale dello spostamento degli attaccanti dallo sfruttare il codice al rubare le chiavi, dove un piccolo numero di eventi di compromissione di chiavi causa una quota sproporzionatamente grande delle perdite totali . Per i protocolli DeFi, non basta più fare audit dei contratti intelligenti: mettere in sicurezza le chiavi dei firmatari di oracle e altre credenziali privilegiate è diventata la nuova linea del fronte.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Il 15 luglio 2026 Ostium, DEX perpetuo per asset reali su Arbitrum, è stato prosciugato per circa 18 milioni di $ in USDC dopo che un attaccante ha compromesso la chiave privata di un firmatario di oracle.
Il 15 luglio 2026 Ostium, DEX perpetuo per asset reali su Arbitrum, è stato prosciugato per circa 18 milioni di $ in USDC dopo che un attaccante ha compromesso la chiave privata di un firmatario di oracle. L'attaccante ha sfruttato la chiave per inviare report di prezzo futuri favorevoli tramite un forwarder registrato su Gelato, realizzando poi profitti fittizi che la vault ha pagato in USDC reali.
Le perdite rappresentano circa il 35% della tesoreria/vault del protocollo (circa 34 milioni di $) o circa il 28% del TVL totale (circa 63 milioni di $), a seconda della metrica usata.