Exploit en Ostium: el DEX perpetuo de Ethereum pierde 24 millones por una vulnerabilidad en precios

El ataque, ejecutado en ocho transacciones desde la bóveda de liquidez (OLP), explotó una validación de firmas de oráculo que no comprobaba la veracidad del precio. Ostium ha pausado toda su actividad en Arbitrum y el suceso reaviva el debate sobre los límites de la seguridad en

Ostium, un exchange descentralizado de futuros perpetuos construido sobre Ethereum, ha sufrido este miércoles un exploit que le ha costado 24 millones de dólares en USDC. El atacante aprovechó una brecha en el sistema de validación de precios para drenar la bóveda de liquidez del protocolo, que ya ha suspendido todas sus operaciones en Arbitrum.

El incidente, reportado por Galaxy Research, consistió en ocho transacciones consecutivas desde la Bóveda de Liquidez de Ostium (OLP, por sus siglas en inglés), el fondo común donde los usuarios depositan USDC para respaldar las operaciones de derivados. El mayor movimiento individual fue de 11,86 millones de dólares, y todos los fondos terminaron en la misma dirección de cartera.

Publicidad

Qué pasó: ocho transacciones en minutos y un precio manipulado

Ostium permite operar con contratos perpetuos sintéticos sobre divisas, materias primas, índices y criptomonedas. Todas las operaciones se liquidan en USDC dentro de la red de Arbitrum, una capa 2 de Ethereum. La liquidez necesaria la aporta la OLP: los proveedores depositan stablecoins y reciben tokens que representan su participación.

El exploit se materializó porque el sistema de verificación de precios —el oráculo, el mecanismo que alimenta al protocolo con valores externos— solo comprobaba que quien firmaba el dato estuviera autorizado, pero no si el precio en sí era correcto. Un atacante con las credenciales adecuadas pudo inyectar un informe de precios con fecha futura y, a continuación, abrir y cerrar posiciones repetidamente para generar beneficios ficticios.

La vulnerabilidad: el portero que mira el carnet pero no el contenido

El fallo no estuvo en los contratos inteligentes de Ostium, sino en la confianza depositada en las claves de firma de sus oráculos. El protocolo había concedido a ciertos actores los roles de firmante y gestor de órdenes; el atacante consiguió acceso legítimo a ambos. Con la firma correcta, el sistema daba por válido cualquier precio, como si un guardia de seguridad se limitara a comprobar que la persona tiene una acreditación sin mirar qué lleva en la mochila.

Añadir controles de retirada en las aplicaciones DeFi sería peor que la enfermedad: convertiría a los usuarios en rehenes de su propio protocolo.

Esta semana, además de Ostium, otros protocolos como Drift y KelpDAO también han sufrido incidentes de seguridad en 2026. En todos ellos, apunta Galaxy Research, la lógica de los contratos resistió; el punto débil fue la confianza humana y la gestión de claves.

Más allá del exploit: por qué la solución no es limitar a los usuarios

Ante este tipo de ataques, algunas voces proponen instaurar limitadores de retirada (throttling) para frenar fugas masivas. Galaxy Research, sin embargo, advierte de que esta medida abre la puerta a la censura: una vez que un protocolo puede decidir cuándo y cómo se accede a los fondos, la autocustodia deja de ser absoluta.

El riesgo va más allá de lo técnico. Si la aplicación tiene capacidad para congelar o retrasar reembolsos, los reguladores podrían exigir que se use para cumplir con órdenes de bloqueo o requisitos KYC. Además, los usuarios buscarían formas de eludir esas restricciones, lo que generaría nuevos tokens de deuda o derivados con sus propios fallos de seguridad. La solución pasa por endurecer la gestión de claves y la redundancia de los oráculos, no por debilitar la soberanía del usuario.


Publicidad