Blokkjedesikkerhetsselskapet Blockaid var først ute med å flagge angrepet på kjeden, og bemerket at angriperen begynte å bytte de stjålne USDC-myntene mot ETH via Kyber kort tid etter angrepet . Angrepet foregikk i tre trinn:
Tapsanslagene varierer fra 12 millioner til 22 millioner dollar på tvers av kilder, men de fleste rapporter lander på omtrent 18 millioner dollar . Blockaid anslo tapene til omtrent 18 millioner dollar, mens CertiK satte tallet til omtrent 22 millioner dollar; begge firmaene tilskrev hendelsen et kompromittert orakelsystem
.
Prosentandelen avhenger av hvilket grunnlag som brukes, og kildene oppgir ulike tall:
Det mest siterte anslaget er omtrent 35 % av protokollens beholdning/kasse på 34+ millioner dollar .
Ostium hentet inn omtrent 27,8 millioner dollar fra investorer som General Catalyst og Jump Crypto . Det er også rapportert om tidligere finansieringsrunder, men General Catalyst og Jump Crypto er de to navngitte institusjonelle investorene i forbindelse med dette angrepet
.
Ostium-utnyttelsen er ikke en ny sårbarhet i smartkontrakter — det er et tyveri av legitimasjon (privat nøkkel) brukt til å manipulere en betrodd prismekanismemekanisme. Det plasserer hendelsen midt i den dominerende angrepsmønsteret i 2026:
Ifølge data fra DeFiLlama har blokkjede-prosjekter samlet tapt omtrent 16,69 milliarder dollar gjennom hacks og utnyttelser over tid, hvor omtrent 40 % av disse tapene skyldes kompromitteringer av private nøkler . Samlet sett har over 17 milliarder dollar blitt stjålet via 518 registrerte hendelser med private nøkler over ti år
.
Hovedpoenget: Ostium-hendelsen er et lærebokeksempel på at angripere har gått fra å utnytte kode til å stjele nøkler, hvor et lite antall nøkkelkompromitteringer forårsaker en uforholdsmessig stor andel av de totale tapene . For DeFi-protokoller holder det ikke lenger å revidere smartkontrakter — sikring av orakelsigneringsnøkler og andre privilegerte legitimasjonsbevis har blitt den nye frontlinjen.