Dimly lit room with a vault door emblem
Crypto

Ostium suspend toutes les transactions après un incident OLP

Les entreprises de sécurité ont estimé les pertes entre 18 millions et 22 millions de dollars, tandis qu'Ostium a exhorté les utilisateurs à révoquer les autorisations pendant qu'elle enquête.

Par AI News Crypto Editorial Team7 min de lecture

Ostium a suspendu toutes les transactions le 15 juillet après avoir identifié un problème affectant son coffre de liquidité OLP sur Arbitrum, suite à des alertes de sécurité décrivant un exploit apparent lié à un oracle. Les estimations de pertes variaient d'environ 18 millions de dollars à environ 22 millions de dollars, et le protocole a demandé aux utilisateurs de révoquer temporairement les approbations de contrat pendant qu'il enquête.

Points clés

  • Ostium a gelé toutes les transactions après qu'un problème a impacté son coffre de liquidité OLP, suite à des rapports d'un exploit apparent lié à un oracle-lié.
  • Les pertes estimées variaient selon les évaluateurs, allant d'environ 18 millions de dollars à environ 22 millions de dollars.
  • L'incident a été attribué par des entreprises de sécurité à un compromis apparent du système oracle qui fournit des données de prix externes.
  • Ostium a exhorté les utilisateurs à révoquer temporairement les approbations de jetons, tout en déclarant qu'il n'avait pas confirmé ni la cause profonde ni les chiffres de perte.

Ostium Gèle le Trading Après l'Incident du Vault OLP

Ostium, une plateforme de contrats perpétuels onchain basée sur Arbitrum, a suspendu toutes les opérations de trading le 15 juillet après avoir identifié un problème affectant son vault de liquidité OLP. La pause est le seul fait concret sur lequel les traders peuvent s'appuyer en ce moment, et c'est la partie qui compte opérationnellement.

Lorsque une plateforme de perpétuels cesse de faire des correspondances, les utilisateurs perdent la capacité d'exprimer un nouveau risque, d'ajuster le collatéral, ou de gérer leur exposition via l'interface native.

Le composant affecté est le vault de liquidité OLP d'Ostium, un vault groupé d'actifs utilisé pour fournir de la liquidité au protocole. Si la comptabilité ou les entrées de prix du vault sont compromises, la capacité de la plateforme à coter des marchés en toute sécurité et à gérer le collatéral devient douteuse. C'est pourquoi la première réponse a été un arrêt complet plutôt qu'une restriction partielle.

Ce qui se démarque, c'est l'ampleur de la plateforme. Ostium offre une exposition à effet de levier sur 75 paires de trading couvrant des actions, des ETF, des matières premières, des indices, des devises et des cryptomonnaies. Cela fait de cet incident plus qu'un simple incident DeFi à un seul actif.

Un arrêt au niveau de la plateforme sur une plateforme de perpétuels multi-actifs est un événement de risque direct pour les utilisateurs actifs, pas un titre que vous pouvez ignorer parce que vous ne tradez pas un token.

Réclamations de Compromis d'Oracle et la Plage de Perte de 18M$ à 22M$

Deux entreprises de sécurité blockchain, Blockaid et CertiK, ont lié l'incident à un compromis apparent du système oracle d'Ostium, le mécanisme qui alimente les données de prix externes dans le protocole. Dans les conceptions de perpétuels, cette entrée de prix n'est pas cosmétique. C'est le point de référence pour la marge, liquidationset PnL de coffre. Si l'oracle a tort, tout en aval peut être faux.

Les estimations de pertes ne sont pas alignées. Blockaid a estimé environ 18 millions de dollars de pertes, tandis que CertiK a évalué le chiffre à environ 22 millions de dollars. L'écart est significatif, mais le problème plus important est que les deux chiffres sont encore des estimations de tiers.

Ostium a explicitement déclaré qu'il n'avait pas encore confirmé la cause de l'incident ni les pertes estimées circulées par les entreprises de sécurité. Cela laisse le marché fonctionner avec des informations incomplètes sur deux axes critiques à la fois : le vecteur d'exploitation et l'ampleur des dommages.

En termes pratiques, la fourchette de 18 millions de dollars contre 22 millions de dollars doit être considérée comme une bande d'incertitude, et non comme un chiffre définitif. Différentes entreprises peuvent mesurer la « perte » différemment dans les premières heures d'un incident, surtout lorsque le paquet ne fournit pas de hachages de transaction, d'adresses d'attaquants ou d'une analyse post-mortem du protocole.

Jusqu'à ce qu'Ostium confirme la comptabilité, les traders se retrouvent avec un lieu qui est en pause et une théorie de travail selon laquelle le chemin de l'oracle a été compromis.

Action de l'utilisateur : Révoquer les approbations pendant que l'enquête se déroule

La directive la plus actionnable d'Ostium ne concernait pas les positions. Elle concernait les permissions.

L'équipe a écrit sur X : « La sécurité des utilisateurs étant notre première préoccupation, nous recommandons à tous les utilisateurs de révoquer temporairementles approbations pour nos contrats jusqu'à ce que nous puissions enquêter plus avant sur l'incident récent.

Révoquer les approbations signifie retirer les autorisations de dépense de jetons précédemment accordées, également appelées allocations, afin que les smart contracts d'Ostium ne puissent plus déplacer les jetons d'un utilisateur. C'est une question d'hygiène de base dans toute fenêtre d'exploitation, mais le timing est important.

Le protocole signale que, tout en enquêtant, il souhaite réduire le rayon d'explosion de toute exposition persistante aux autorisations de contrat.

Cette directive ne confirme pas que les portefeuilles des utilisateurs étaient directement en danger, et le paquet ne précise pas si les pertes étaient isolées au coffre OLP, aux fonds des utilisateurs, ou aux deux. Cependant, il indique comment l'équipe priorise la réponse : arrêter d'abord le trading, puis réduire le risque d'autorisation tant que la cause profonde n'est pas encore confirmée.

Pour les traders, le point opérationnel clé est qu'une pause dans le trading plus un coffre de liquidité altéré peuvent se traduire par une inactivité forcée. Même si vous n'êtes pas directement affecté par la perte du coffre, vous êtes exposé au risque de continuité de la plateforme lorsque le moteur de correspondance est hors service et que le protocole détermine encore ce qui s'est passé.

Signaux qui déterminent le risque de redémarrage : Confirmation, Contention et Post-Mortem

La prochaine phase concerne la vérification et l'étendue, pas les impressions.

Tout d'abord, Ostium doit confirmer ou contester les deux revendications principales circulant sur le marché : que l'incident a été provoqué par un compromis d'oracle, et que les pertes se situent dans la fourchette de 18 millions à 22 millions de dollars. Une déclaration claire qui réconcilie les estimations de Blockaid et CertiK réduirait l'incertitude, même si le chiffre est moche.

Deuxièmement, les traders ont besoin d'un calendrier concret pour reprendre le trading. Le paquet n'inclut pas de fenêtre de redémarrage, et cette absence est en soi un signal de risque. Une plateforme peut être mise en pause pendant des heures, des jours, ou plus longtemps selon que le problème est une exploitation contenue, une défaillance systémique de l'oracle, ou un problème de gestion des clés plus large.

Troisièmement, les détails de l'incident du protocole détermineront si le redémarrage est une simple réouverture ou une réinitialisation structurelle. Le marché a besoin de clarté sur l'étendue de l'impact sur le coffre de liquidité OLP et sur les étapes de remédiation qui existent pour les utilisateurs, le cas échéant.

Sans un post-mortem qui explique ce qui a échoué et ce qui a changé, un redémarrage peut sembler moins une récupération et plus une réouverture d'un risque non résolu.

En prenant du recul, cet incident se déroule dans une année où les attaques DeFi ont persisté malgré les dépenses en sécurité. Les données de DeFiLlama ont montré près de 630 millions de dollars de pertes dues à des hacks de crypto en avril, le total mensuel le plus élevé depuis février 2025, les protocoles DeFi représentant la grande majorité. Les exploits chez KelpDAO et Drift Protocol ont constitué plus de 80 % du total de ce mois.

Les chercheurs en sécurité ont également souligné un changement vers des cibles d'infrastructure offchain comme les oracles, l'accès privilégié et la gestion des clés.

Ce contexte est important car il explique pourquoi un titre sur un "compromis d'oracle" n'est pas une technicité de niche. C'est de plus en plus le principal mode d'échec.

Le risque d'oracle devient le point de défaillance critique pour les perps onchain.

Je reviens sans cesse à la même asymétrie inconfortable : les perps sont une affaire de tarification, et les oracles sont la dépendance à la tarification. Ostium est en pause parce que quelque chose a touché le coffre de liquidité OLP, et l'attribution externe principale est un compromis d'oracle.

Cette combinaison est exactement le type d'événement de risque de lieu qui oblige les traders à penser au-delà de l'exposition aux tokens et à l'exposition à l'infrastructure.

Il y a trois scénarios qui comptent, et chacun a un profil de risque de redémarrage différent.

Le premier scénario est l'"incident d'oracle contenu". Ostium confirme l'attribution du compromis d'oracle, quantifie les pertes dans la fourchette de 18 millions à 22 millions de dollars, et décrit une solution qui est étroite et testable. Les points de confirmation ici sont simples : un post-mortem qui explique quel composant oracle a échoué, ce qui a été changé, et pourquoi le même chemin ne peut pas être rejoué.

L'invalidation est tout aussi claire : un langage vague, aucune description technique de confinement, ou une annonce de redémarrage sans explication crédible de ce qui a changé.

Le deuxième scénario est la "révision de l'estimation des pertes". Ostium conteste la fourchette de 18 millions à 22 millions de dollars, soit matériellement plus bas, soit plus élevé, parce que la comptabilité initiale de tiers a manqué des compensations internes ou a omis des drains supplémentaires. Le point de confirmation est une méthodologie de perte réconciliée qui explique pourquoi Blockaid et CertiK ont divergé.

Le point d'invalidation est une chute de chiffre sans récit comptable, ce qui maintiendrait l'incertitude élevée même si le trading reprend.

Le troisième scénario est que "le compromis d'oracle est un symptôme, pas la cause". Ostium maintient qu'il n'a pas confirmé la cause profonde, et l'enquête révèle une défaillance différente dans le pipeline de données de prix, l'accès privilégié ou la gestion des clés.

Je ne peux pas l'affirmer à partir du paquet, mais je peux dire ce qui le confirmerait : une déclaration qui rejette explicitement le cadre du compromis d'oracle et le remplace par une cause profonde différente, plus des étapes de remédiation qui correspondent à cette cause. Si Ostium confirme finalement le compromis d'oracle, ce scénario est invalidé.

Dans les trois cas, le point de structure du marché est le même. Un lieu de perp onchain multi-actifs qui suspend le trading après un incident de coffre OLP vous dit que l'intégrité des prix et le soutien à la liquidité sont indissociables.

La thèse centrale est confirmée si la mise à jour d'Ostium valide l'attribution du compromis d'oracle et réconcilie la fourchette de pertes de 18 millions à 22 millions de dollars avec un plan de confinement qui permet un redémarrage crédible.

Sources