Ostium-Tresor durch Arbitrum-Sicherheitslücke geplündert, Verluste belaufen sich auf fast 18 Millionen US-Dollar

- Ein Angreifer erbeutete auf Arbitrum rund 18 bis 20 Millionen Dollar aus dem Tresor von Ostium, indem er den privaten Schlüssel eines Oracle-Signierers kompromittierte und gefälschte Daten einreichte.
- Durch die manipulierten Kursdaten konnte der Angreifer gefälschte Handelsgewinne verbuchen, die der Tresor in USDC auszahlte.
- Ostium hat den Handel vorübergehend eingestellt und untersucht den Vorfall. Damit reiht sich das Unternehmen in eine Welle von 2026-Exploits ein, die auf kompromittierten privilegierten Zugriff zurückzuführen sind.
Ein Angreifer hat 18 Millionen USDC aus dem Ostium-Tresor auf Arbitrum abgehoben. Das Sicherheitsunternehmen Blockaid meldete dendent auf X und führte den Angriff auf eine Manipulation des Ostium-Preisfeeds zurück.
Laut dem Sicherheitsunternehmen nutzte der Angreifer einen registrierten PriceUpKeep-Forwarder und übermittelte autorisierte Oracle-Berichte mit einem zukünftigen Datum. Dadurch konnte er nicht existierende Handelsgewinne verbuchen, die vom Vault in USDC ausgezahlt wurden.
Blockaid bezifferte die Auszahlung auf etwa 18 Millionen Dollar.
Was geschah mit Ostium?
Das Sicherheitsunternehmen ExVul schrieb auf X: „Der Angriff beruht auf einer Kompromittierung des privaten Schlüssels (Oracle Signer), was zu einer Preismanipulation führte.“
Defimon Alerts kam zu einem ähnlichen Schluss und bezeichnete den Vorfall als Kompromittierung des privaten Schlüssels eines privilegierten Oracle-Signierers, die zu Preismanipulationen führte. Beide Beschreibungen deuten darauf hin, dass die Oracle-Schicht von Ostium die Schwachstelle darstellt.
Es herrscht jedoch vollständige Einigkeit über die Höhe des durch den Exploit entstandenen Gesamtschadens. Blockaid gibt an, dass der Exploit eine Auszahlung von „~18 Millionen USDC aus dem Tresor“ ausgelöst hat
ExVul berichtete, dass 11,86 Millionen US-Dollar in USDC den Tresor verlassen haben, was etwa 32 % des gesamten gebundenen Vermögens (TVL) von Ostium in Höhe von 34,3 Millionen US-Dollar entsprach. DefiAlerts verzeichnete eine noch höhere Zahl und gab an, dass Ostium etwa 20 Millionen US-Dollar verloren habe. Allerdings erwähnte das Portal auch, dass 11.862.445 USDC aus dem Tresor abgezogen wurden.
Ostium ist eine auf Arbitrum basierende Perpetual Exchange, die es Nutzern ermöglicht, gehebelte Positionen in Vermögenswerten wie Devisen, Rohstoffen, Metallen und Aktien direkt über eine selbstverwaltete Wallet zu handeln. Sie war eine der ersten DeFi Plattformen, die diese Art von traditionellem Marktzugang auf der Blockchain ermöglichte.
Ostium hat kürzlich institutionelle Unterstützung und ein Plattform-Upgrade angekündigt
Ende April führte Ostium eine sogenannte dezentrale Ausführungsschicht– ein System, das On-Chain-Aufträge zur Absicherung an institutionelle Off-Chain-Partner weiterleitet. Laut Mitgründer und CTO Marco Antonio Ribeiro diente dies dazu, Smart Contracts mit institutionellen Messaging-Systemen mit einer Latenz von unter 100 Millisekunden zutrac.
Ostium schloss im Dezember 2025 eine Serie-A-Finanzierungsrunde über 20 Millionen US-Dollar ab, die von General Catalyst und Jump gemeinsam angeführt wurde. Dies geht aus den Finanzierungsunterlagen von DefiLlama hervor, in denen auch Coinbase Ventures, Wintermute Ventures und GSR als Investoren aufgeführt sind. Andere Berichte beziffern das Gesamtfinanzierungsvolumen des Unternehmens auf 27,8 Millionen US-Dollar.
DefiLlama zeigt aktuell an, dass Ostium einen Gesamtwert von 63,33 Millionen US-Dollar hält, der vollständig bei Arbitrum gesperrt ist, mit einem kumulierten unbefristeten Volumen von mehr als 60 Milliarden US-Dollar seit dem Start.
Ein weiterer Tiefpunkt in einer brutalen Phase für die Kryptosicherheit
Nun reiht sich auch Ostium in die wachsende Liste der Unternehmen ein, die im Jahr 2026 Opfer eines Datenlecks wurden.
Das zweite Quartal 2026 ging als das Quartal mit den meisten Angriffen in der Geschichte der USA in Bezug auf die Anzahl der Vorfälle in die Geschichte eindent mit rund 83 separaten Exploits bis Ende Juni.
Es ist bereits Mitte Juli, und die Liste wird immer länger. Kompromittiertedentund betrügerische Preismanipulationen waren für etwa 37 % dieser Verluste verantwortlich, der Diebstahl privater Schlüssel für weitere 5,7 %.
Ein Oracle-Signer-Kompromittierungsfall der in Ostium beschriebenen Art reiht sich nahtlos in diese Kategorie von Angriffen ein, die auf privilegierten Zugriff abzielen.
Ostium hat den Vorfall bestätigt und auf X geschrieben: „Wir sind uns des Problems mit dem OLP-Vault bewusst. Der Handel wurde vorübergehend eingestellt. Unser Team untersucht den Fall.“ Bislang hat das Unternehmen keine Angaben zur Höhe des entstandenen Schadens gemacht.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Häufig gestellte Fragen
Wie viel wurde aus Ostium gestohlen?
Die Schätzungen variieren je nach Quelle. Blockaid nannte etwa 18 Millionen US-Dollar, ExVul zählte rund 11,86 Millionen US-Dollar in USDC, und DefiAlerts verzeichnete knapp 20 Millionen US-Dollar mit etwa 11.862.445 USDC.
Wie funktionierte der Ostium-Exploit?
Blockaid gab an, der Angreifer habe einen registrierten PriceUpKeep-Forwarder und zukunftsdatierte autorisierte Oracle-Berichte verwendet, um Handelsgewinne vorzutäuschen, während ExVul und Defimon Alerts dies auf einen kompromittierten Oracle-Signaturschlüssel zurückführten, der eine Preismanipulation ermöglichte.
Was ist ein Ostium?
Ostium ist eine dezentrale Perpetual-Börse auf Arbitrum, die gehebelten Handel mit realen Vermögenswerten wie Devisen, Rohstoffen, Metallen und Aktien aus einer selbstverwalteten Wallet anbietet. Im Dezember 2025 sammelte das Unternehmen in einer von General Catalyst und Jump gemeinsam angeführten Serie-A-Finanzierungsrunde 20 Millionen US-Dollar ein.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren

Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
















