Puntos Clave de la Noticia:
- La firma de seguridad en blockchain Blockaid detectó la vulnerabilidad que comprometió el capital de la plataforma de finanzas descentralizadas.
- El atacante extrajo la suma aproximada de 18 millones de dólares en la stablecoin USDC desde el pool de liquidez en la red Arbitrum.
- La firma Ostium acumuló previamente un financiamiento total de 27.8 millones de dólares y un volumen acumulado de transacciones superior a los 50,000 millones de dólares.
Nuevo incidente de seguridad se registró en el sector de las finanzas descentralizadas este miércoles. Un hacker drenó fondos a través de un exploit de Ostium, el exchange descentralizado de perpetuos basado en la red de capa 2 de Arbitrum. La vulnerabilidad informática permitió la sustracción de millones de dólares en activos digitales estables directamente desde las bóvedas de liquidez del protocolo.
🚨 Blockaid detected an @Ostium Vault exploit on Arbitrum.
An attacker used a registered PriceUpKeep forwarder and future-dated authorized oracle reports to create artificial trade profit, triggering a ~$18M USDC payout from the vault.
More details in 🧵— Blockaid (@blockaid_) July 15, 2026
Reporte de mercado indica que el incidente fue identificado por los sistemas de monitoreo on-chain de la firma de seguridad Blockaid. Los datos de la investigación señalan que el hacker utilizó una cuenta autorizada en la infraestructura automatizada del protocolo para alterar los registros de tiempo de los precios del sistema. Información oficial indica que se falsificaron marcas de tiempo con fechas futuras, lo que generó reportes de cotizaciones fraudulentas dentro del mecanismo.
El impacto técnico del ataque de oráculo

El reporte oficial detalla que la falla provino de la manipulación del componente conocido como PriceUpKeep, que forma parte del engranaje automatizado de Ostium. Al procesar las órdenes con marcas temporales alteradas, el sistema asumió operaciones comerciales altamente rentables. Este desajuste algorítmico derivó en que la plataforma autorizara de forma automática un retiro masivo por un valor exacto de $18 millones de dólares en USDC.
La infraestructura del protocolo afectado permitía a los usuarios negociar contratos perpetuos sobre activos del mundo real, incluyendo materias primas e índices de renta variable, con un apalancamiento que alcanzaba hasta las 200 veces. Los fondos se liquidaban exclusivamente en la moneda USDC. Datos de la plataforma sugieren que la naturaleza del ataque guarda similitudes directas con una tendencia reciente de vulnerabilidades que afecta a múltiples aplicaciones financieras.
Por otra parte, los registros históricos compartidos por las firmas de auditoría exponen que incidentes de esta índole golpearon a la industria en semanas previas. La semana pasada, el protocolo Summer.fi reportó una pérdida que ascendió a los $6 millones de dólares bajo una modalidad similar. Los especialistas señalan que estas técnicas consisten en que los actores maliciosos obtienen acceso a roles privilegiados para trastocar la sincronización del flujo de datos de cotización de mercado.
Contexto financiero y volumen de operaciones
En cuanto a la salud financiera previa del protocolo, los registros del ecosistema exponen una sólida base de capital institucional. Ostium había recaudado un financiamiento de $27.8 millones de dólares en sus rondas de capital privado. La ronda de Serie A, concretada hacia finales del año 2025, inyectó un total de $24 millones de dólares que estuvo coliderada por las firmas de inversión de riesgo General Catalyst y Jump Crypto.
Asimismo, la plataforma mantenía una alta actividad operativa antes de la interrupción del servicio provocada por este hackeo. Las estadísticas públicas de la red confirman que la aplicación había procesado un volumen acumulado de transacciones superior a los $50,000 millones de dólares en su plataforma.
El equipo de desarrollo de Ostium mantendrá suspendidas temporalmente las funciones de depósito en la red Arbitrum mientras concluye la auditoría del código. Las agencias de ciberseguridad han programado la publicación del informe forense definitivo sobre los contratos inteligentes afectados para las próximas 48 horas.





