Flash info : La plateforme de contrats perpétuels durables RWA sur Arbitrum, Ostium, a été piratée pour 18 millions de dollars ! Une fuite de clé privée de l’oracle a causé le désastre

Le grand écosystème d'Arbitrum fait état d'un grave incident de sécurité ! La plateforme décentralisée de contrats perpétuels et durables dédiée aux actifs du monde réel (RWA), Ostium, aurait été piratée : une fuite des clés privées de l'oracle (Oracle) aurait permis aux hackers de manipuler malicieusement les prix. La perte s’élèverait à 18,0 millions de dollars USDC, soit environ 35 % des fonds de son trésor (caisse). À l’heure actuelle, les officiels mènent une enquête d’urgence.
(Contexte : le partenaire de Dragonfly : le « hacker’s endgame » DeFi ne s’est pas concrétisé, et le montant volé annualisé en 2026 n’est que de 1,89 milliard de dollars)
(Supplément de contexte : le fondateur de Robinhood diffuse en direct la phrase d’aide ! Des hackers spéculent sur des Meme coins, volume de transactions en hausse de 20 millions de dollars)

Table des matières

Toggle

  • Fuite de la clé privée de l'oracle, hackers enchaînent pour un profit de 900 %
  • Pertes de plus de 18,0 millions de dollars, fonds déjà dispersés et transférés
  • Financement de 27,80 millions de dollars par des institutions de premier plan, enquête officielle urgente

La ligne de défense en matière de sécurité dans le secteur de la finance décentralisée (DeFi) fait de nouveau face à une épreuve sévère. Le 15 juillet 2026, heure de Taipei, la plateforme de contrats perpétuels durables pour actifs du monde réel (RWA) déployée sur le réseau Arbitrum a connu une faille de sécurité critique, permettant aux hackers de piller massivement son coffre de liquidité.

Fuite de la clé privée de l'oracle, les hackers raflent un profit de 900 %

D’après les premières enquêtes de plusieurs sociétés de sécurité blockchain, dont Blockaid, le cœur de l’attaque ne serait pas une vulnérabilité dans le code du smart contract lui-même, mais une défaillance fatale dans la « gestion des clés secrètes de l’oracle ». Les attaquants auraient apparemment obtenu la clé privée du signataire de l’oracle (Oracle signer), leur permettant de contourner la validation du système et de soumettre à volonté des données de prix manipulées.

🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.

An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in 🧵

— Blockaid (@blockaid_) July 15, 2026

Les hackers ont utilisé un forwarder déjà enregistré (PriceUpKeep forwarder) pour soumettre des rapports d’oracle autorisés portant une date future, afin de falsifier des prix d’actifs en leur faveur. Le procédé serait le suivant : d’abord, ouvrir une position acheteuse de Bitcoin (BTC) avec une petite quantité de USDC, puis soumettre un rapport à bas prix pour ouvrir la position, et enfin soumettre un rapport à haut prix pour la fermer, déclenchant instantanément le plafond de profit maximal fixé par la plateforme, soit 900 %. Grâce à des actions déléguées (Delegated actions), les hackers auraient répété ce cycle environ 20 fois, extrayant en continu des fonds du coffre de liquidité.

Pertes de plus de 18,0 millions de dollars, les fonds ont déjà été dispersés et transférés

Les données sur la chaîne Arbiscan indiquent que cette attaque a fait perdre à Ostium environ 11,86 millions à 18,0 millions de dollars USDC au niveau de son principal coffre de liquidité. Cette perte massive représente environ 35 % de la taille totale du trésor de la plateforme (plus de 34,0 millions de dollars). Pour l’instant, les hackers auraient converti une partie des fonds volés en Ethereum (ETH), puis les auraient transférés de manière dispersée vers plusieurs adresses de portefeuille différentes, dans le but d’échapper au traçage.

Financement de 27,80 millions de dollars par des institutions de premier plan, enquête officielle urgente

Ostium est une plateforme décentralisée de contrats perpétuels dédiée aux actifs non cryptos tels que les actions, les matières premières, le change et les indices. La part de son encours sur les actifs non cryptos est supérieure à 95 %, et elle s’appuie sur des services d’oracle tels que Stork Network. La plateforme a affiché de très bons résultats par le passé : son volume de transactions cumulé a dépassé 50,0 milliards de dollars, et elle a déjà levé jusqu’à 27,80 millions de dollars auprès de venture capital de premier plan comme General Catalyst, Jump Crypto et Coinbase Ventures.

Au moment de la publication, l’équipe d’Ostium poursuit une enquête complète sur cet événement et n’a pas encore publié de rapport officiel de synthèse après incident. Les officiels appellent les utilisateurs à surveiller de près ses canaux officiels, notamment X (anciennement Twitter) et Discord, afin d’obtenir les instructions de retrait à venir et les mises à jour de sécurité. Cet incident sonne aussi de nouveau l’alarme pour l’ensemble du secteur RWA et DeFi, soulignant l’importance absolue de la gestion des clés secrètes d’oracle et des mécanismes de surveillance en temps réel.

ARB-3,79%
RWA-0,50%
USDC0,01%
MEME-1,74%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé