Ostium sofre prejuízo de US$ 18 milhões após ataque a oráculo no Arbitrum

Ostium sofre prejuízo de US$ 18 milhões após ataque a oráculo no Arbitrum

Nesta quarta-feira, o setor de finanças descentralizadas foi abalado por um novo caso de manipulação envolvendo oráculos. A exchange perpétua Ostium, que opera na rede Arbitrum, sofreu uma perda estimada em US$ 18 milhões em USDC de seu fundo de liquidez. O ataque, que foi identificado pela empresa de segurança blockchain Blockaid, revela falhas significativas na infraestrutura automatizada utilizada para relatórios de preços, a qual é comum entre diversos protocolos. Este incidente se junta a uma série de exploits direcionados a sistemas de oráculo e keeper, evidenciando a urgência por auditorias mais rigorosas e mecanismos consistentes de validação temporal.

Mecanismo do ataque manipulador de oráculo

A análise realizada on-chain revelou que o atacante fez uso de um componente registrado denominado PriceUpKeep forwarder, parte da infraestrutura automatizada da Ostium para relatórios de preços. Este forwarder foi programado para enviar dados com timestamps futuros, ou seja, informações sobre preços que ainda não tinham ocorrido no mercado real. Como resultado, esses registros falsos deram a impressão de transações lucrativas em posições que na verdade resultariam em perdas.

Por meio da manipulação dos preços futuros, o contrato inteligente da Ostium interpretou as operações como bem-sucedidas e autorizou uma transferência de US$ 18 milhões em USDC diretamente para a carteira do invasor. A transação foi devidamente registrada no explorador de blocos da Arbitrum, confirmando que todo o valor do vault de liquidez utilizado para suportar as operações perpétuas foi drenado.

O ataque expõe uma vulnerabilidade no design do sistema personalizado da Ostium para oráculos, que depende da automação por meio da rede Gelato para atualizar os preços on-chain. A falta de validação adequada dos timestamps permitiu que o invasor comprometesse a integridade dos dados, transformando perdas potenciais em ganhos ilusórios.

Ostium: exchange perpétua focada em ativos reais no Arbitrum

A Ostium é uma plataforma decentralizada dedicada a contratos perpétuos relacionados a ativos reais como ouro, forex e índices acionários, operando na rede Arbitrum com alavancagem de até 200x e liquidações realizadas em USDC. Antes do exploit recente, a plataforma havia alcançado um volume total superior a US$ 50 bilhões em negociações e levantado US$ 27,8 milhões em rodadas de financiamento, firmando-se como um competidor importante no segmento de perpétuos sintéticos.

Seu modelo comercial se baseia num feed próprio para monitorar ativos tradicionais combinado à automação proporcionada pela Gelato para realizar atualizações regulares. Apesar dessa estrutura ser eficaz sob condições normais, mostrou-se vulnerável a ataques quando a validação dos timestamps não é suficientemente rigorosa. Com essa perda significativa de US$ 18 milhões, o protocolo agora enfrenta o desafio crítico de restaurar a confiança entre os usuários e revisar sua segurança interna.

Especialistas alertam que confiar em redes terceirizadas para automação como Gelato pode introduzir riscos adicionais caso os contratos inteligentes não verifiquem adequadamente a procedência e temporalidade das informações recebidas. No caso da Ostium, o invasor conseguiu registrar um forwarder malicioso aceito pelo sistema, indicando falhas nas permissões governamentais.

Aumento dos ataques aos oráculos no ecossistema DeFi

O ataque à Ostium ocorre dentro de um contexto alarmante com um aumento notável nos ataques direcionados aos oráculos no ambiente DeFi. Na semana anterior, o protocolo Summer.fi também sofreu uma perda considerável ao ter US$ 6 milhões comprometidos devido à manipulação nos feeds de preços que resultaram em liquidações indevidas. Esses eventos ressaltam uma fragilidade sistêmica relacionada à confiança excessiva dos protocolos em fontes externas para realizar operações vitais como liquidações e distribuição de lucros.

Diferentemente do ataque à Ostium – que utilizou timestamps futuros – outros incidentes também se baseiam na manipulação dos dados atuais com o mesmo objetivo: obter ganhos financeiros ilegítimos através do engano dos sistemas de oráculo. A crescente frequência desses episódios tem pressionado desenvolvedores e equipes responsáveis pela segurança a reconsiderarem como os sistemas oraculares são arquitetados, especialmente aqueles que automatizam pagamentos baseados nos relatórios financeiros.

Para investidores e grandes detentores (baleias), fica evidente: a segurança relacionada aos oráculos continua sendo o ponto mais vulnerável do DeFi e ataques dessa natureza podem resultar em perdas bilionárias rapidamente. A recomendação geral é que os protocolos adotem múltiplas fontes de dados, implementem mecanismos robustos para consenso temporal e estabeleçam limites claros de exposição ao risco. Enquanto isso, a Ostium permanece sob investigação enquanto sua comunidade aguarda um plano detalhado para recuperação e compensação aos usuários afetados.

Implicações para a segurança das infraestruturas on-chain

O episódio envolvendo a Ostium serve como um forte alerta para todo o ecossistema cripto sobre a necessidade imperiosa de validar não apenas os conteúdos dos relatórios oriundos dos oráculos mas também sua origem e temporalidade. A incapacidade em verificar os timestamps permitiu ao atacante criar uma narrativa paralela on-chain onde transações perdedoras foram transformadas em lucros fictícios. Esse fato expõe lacunas no design vigente na maioria dos contratos inteligentes que presumem que os dados fornecidos pelos oráculos são sempre confiáveis.

Especialistas na segurança blockchain recomendam que protocolos adotem verificações rigorosas quanto à consistência temporal – por exemplo, exigindo que os timestamps estejam dentro de uma janela aceitável comparativa ao tempo do bloco atual. Além disso, utilizar oráculos descentralizados com múltiplos validadores como Chainlink poderia diminuir consideravelmente o risco associado à manipulação unidimensional. No caso específico da Ostium, depender fortemente de um sistema personalizado com automação externa ampliou sua superfície vulnerável aos ataques.

A perda expressiva de US$ 18 milhões impacta diretamente na liquidez do protocolo e pode gerar um efeito cascata no mercado relacionado aos perpétuos sintéticos; visto que é fundamental manter a confiança dos traders na integridade das informações sobre preços para assegurar suas operações. O futuro próximo da Ostium dependerá da agilidade nas implementações das correções necessárias e reembolsos aos usuários prejudicados além da recuperação do prestígio perdido. Enquanto isso, o ambiente DeFi observa atentamente novos exploits e as lições aprendidas com cada incidente referente à segurança on-chain.