Blockchain-beveiligingsbedrijf Blockaid was de eerste dat de exploit on-chain opmerkte, en zag dat de aanvaller de gestolen USDC via Kyber in ETH begon om te zetten . De aanval verliep in drie stappen:
De schattingen van het verlies lopen uiteen van $12 miljoen tot $22 miljoen, maar de meeste bronnen noemen ~$18 miljoen . Blockaid schatte het verlies op ongeveer $18 miljoen, terwijl CertiK op ongeveer $22 miljoen uitkwam; beide bedrijven schreven het incident toe aan een compromittering van het oracle-systeem van Ostium
.
Het percentage hangt af van de gebruikte basislijn, en bronnen geven verschillende cijfers:
Ostium haalde ongeveer $27,8 miljoen op bij investeerders als General Catalyst en Jump Crypto . Andere eerdere financieringsrondes werden ook gemeld, maar General Catalyst en Jump Crypto zijn de twee genoemde institutionele investeerders in verband met deze exploit
.
De Ostium-exploit is geen nieuwe kwetsbaarheid in slimme contracten — het is een diefstal van privésleutels, gebruikt om een vertrouwd prijsfeedmechanisme te manipuleren. Dat plaatst het precies in het dominante aanvalspatroon van 2026:
Volgens gegevens van DeFiLlama hebben blockchainprojecten in totaal ongeveer $16,69 miljard verloren door hacks en exploits, waarbij ongeveer 40% van die verliezen het gevolg was van compromittering van privésleutels . Op cumulatieve basis is er in tien jaar tijd via 518 geregistreerde privésleutelincidenten meer dan $17 miljard gestolen
.
De conclusie: de Ostium-exploit was een schoolvoorbeeld van hoe aanvallers zijn overgestapt van het exploiteren van code naar het stelen van sleutels, waarbij een klein aantal sleutelcompromitteringen een onevenredig groot deel van de totale verliezen veroorzaakt . Voor DeFi-protocollen is het auditen van slimme contracten niet langer voldoende — het beveiligen van oracle-signersleutels en andere bevoorrechte inloggegevens is het nieuwe front geworden.