Den 15 juli 2026 drabbades Ostium, en perpetual DEX för reala tillgångar (RWA) på Arbitrum, av en orakelexploit som tömde cirka 18 miljoner dollar i USDC. Angriparen komprometterade en orakelsignerares privata nyckel och använde en registrerad PriceUpkeep vidarebefordrare på Gelato för att skicka in framtida, gynnsa...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What caused Ostium to halt trading on Arbitrum, how did the attacker exploit a compromised oracle. Article summary: Here are the fact-checked findings, organized by each of your questions.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
Den 15 juli 2026 drabbades Ostium – en perpetual DEX på Arbitrum för handel med reala tillgångar (RWA) – av en orakelexploit som tömde dess OLP-likviditetsvalv och tvingade protokollet att stoppa all handel . Angriparen komprometterade en privat nyckel för en orakelsignerare, en privilegierad credential som används för att auktorisera inlämning av prisdata, och använde den för att fabricera vinster som betalades ut i riktig USDC från valvet
. Här följer en fullständig genomgång av vad som hände, hur mycket som förlorades och varför denna incident är ett typexempel på den dominerande attackvektorn inom DeFi 2026.
Blockkedjesäkerhetsföretaget Blockaid var först med att flagga exploiten on-chain och noterade att angriparen omedelbart började växla den stulna USDC:n till ETH via Kyber . Attacken genomfördes i tre steg:
Uppskattningarna av förlusten varierar mellan 12 och 22 miljoner dollar, men de flesta rapporter landar på cirka 18 miljoner dollar . Blockaid uppskattade förlusten till cirka 18 miljoner dollar, medan CertiK satte siffran till cirka 22 miljoner dollar; båda företagen tillskrev incidenten en kompromettering av Ostiums orakelsystem
.
Andelen beror på vilket underlag som används, och källorna ger olika siffror:
Den mest citerade siffran är cirka 35 % av protokollets kassa/valv på över 34 miljoner dollar .
Ostium samlade in cirka 27,8 miljoner dollar från investerare som General Catalyst och Jump Crypto . Även tidigare finansieringsrundor har rapporterats, men General Catalyst och Jump Crypto är de två namngivna institutionella investerarna i samband med denna exploit
.
Ostium-exploiten är inte en ny sårbarhet i smarta kontrakt – det är en stöld av privat nyckel som användes för att manipulera en betrodd prisfeed-mekanism. Det placerar den rakt i det dominerande attackmönstret för 2026:
Enligt DeFiLlama-data har blockkedjeprojekt kollektivt förlorat cirka 16,69 miljarder dollar genom hack och exploater, med cirka 40 % av dessa förluster från komprometterade privata nycklar . Kumulativt har över 17 miljarder dollar stulits via 518 registrerade incidenter med privata nycklar under tio år
.
Slutsatsen: Ostium-exploiten var ett typexempel på hur angripare har gått från att utnyttja kod till att stjäla nycklar, där ett litet antal nyckelkomprometteringar orsakar en oproportionerligt stor andel av de totala förlusterna . För DeFi-protokoll räcker det inte längre med att granska smarta kontrakt – att säkra orakelsignerares nycklar och andra privilegierade credentials har blivit den nya frontlinjen.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Den 15 juli 2026 drabbades Ostium, en perpetual DEX för reala tillgångar (RWA) på Arbitrum, av en orakelexploit som tömde cirka 18 miljoner dollar i USDC.
Den 15 juli 2026 drabbades Ostium, en perpetual DEX för reala tillgångar (RWA) på Arbitrum, av en orakelexploit som tömde cirka 18 miljoner dollar i USDC. Angriparen komprometterade en orakelsignerares privata nyckel och använde en registrerad PriceUpkeep vidarebefordrare på Gelato för att skicka in framtida, gynnsamma prisdata.
Genom cirka 20 loopade delegerade affärer skapades fiktiva handelsvinster som betalades ut i riktig USDC från protokollets OLP likviditetsvalv.