Oracle défaillant, coffre-fort vidé
Ce mercredi 5 juin 2026, Ostium, une plateforme de trading décentralisée spécialisée dans les produits perpétuels sur Arbitrum, a vu près de 18 millions de dollars USDC disparaître de son principal co
Ostium avait récemment levé 27,8 millions de dollars auprès d’investisseurs majeurs comme General Catalyst et Jump Crypto lors d’une levée Series A fin 2025, et affichait plus de 50 milliards de dollars de volume cumulé traité avant l’incident.
Le smart contract PriceUpKeep, utilisé pour écrire les prix sur la blockchain, a été la porte d’entrée de l’attaque détectée par Blockaid le 5 juin 2026.
Gelato et PriceUpKeep sous surveillance
L’attaque s’est appuyée sur une faille dans la gestion du price-feed personnalisé d’Ostium. Le protocole utilise le réseau Gelato pour automatiser la mise à jour des prix onchain via le smart contract PriceUpKeep. En soumettant des valeurs futures autorisées par une clé de signature compromise, l’attaquant a pu manipuler les cours affichés sur Ostium et générer artificiellement des profits de trading. Ce mécanisme a permis d’extraire directement 18 millions d’USDC du coffre OLP (Ostium Liquidity Pool), soit près d’un tiers des liquidités totales du protocole qui s’élevaient à environ 63 millions de dollars au moment des faits.
Les fonds volés ont été rapidement convertis en ETH puis dispersés sur plusieurs portefeuilles pour brouiller leur traçabilité.
Voir Aussi
Ostium stoppe tout, utilisateurs inquiets
Face à la gravité de l’incident et aux alertes émises par Blockaid et CertiK, Ostium a suspendu toutes ses activités de trading dès le mercredi matin. La plateforme a conseillé à ses utilisateurs de révoquer temporairement les autorisations accordées à ses smart contracts afin d’éviter toute propagation potentielle du risque. Malgré l’importance des pertes — estimées entre 18 et 22 millions selon les différentes firmes — Ostium n’a pas encore officiellement confirmé ni la cause exacte ni le montant définitif du préjudice.
Au total, plus de 840 millions de dollars ont été dérobés à divers protocoles DeFi sur les cinq premiers mois de 2026. Parmi les cibles majeures figurent KelpDAO (292 millions), Drift Protocol (285 millions) et Resolv Labs (plus de 25 millions). Ce contexte anxiogène pèse lourdement sur la confiance des investisseurs dans la sécurité des infrastructures DeFi.
La rapidité avec laquelle Ostium a gelé ses opérations témoigne néanmoins d’une prise en compte immédiate du risque systémique pour ses clients.
Une série noire pour les oracles
L’incident Ostium s’inscrit dans une vague récente d’exploits visant spécifiquement les systèmes d’oracle et keeper dans la finance décentralisée.
Manipulation des prix : le talon d’Achille
Le mode opératoire observé chez Ostium rappelle celui du hack subi par Summer.fi une semaine plus tôt, où près de 6 millions ont été siphonnés via une manipulation similaire. Les oracles et systèmes keeper — ces agents automatisés chargés d’exécuter des tâches critiques sur la blockchain — deviennent la cible privilégiée des hackers cherchant à détourner des flux massifs en quelques minutes seulement. En avril dernier, selon DeFiLlama cité par cointelegraph.com, les attaques contre les protocoles DeFi avaient déjà généré près de 630 millions de dollars de pertes en un mois.
La multiplication des attaques met en lumière la fragilité intrinsèque des price-feeds personnalisés face aux manipulations sophistiquées. Pour Ostium comme pour l’ensemble du secteur DeFi, renforcer la sécurité opérationnelle autour des oracles devient une priorité absolue alors que les volumes échangés atteignent désormais des records : en juin, le marché spot sur CEX a bondi à 1,11 trillion de dollars (+15%), tandis que les volumes RWA perpetuals dépassaient les 311 milliards.
Ce qu'on en garde
- •Le 5 juin 2026, Ostium a perdu environ 18 millions de dollars USDC suite à une attaque oracle sur Arbitrum.
- •L’exploit a vidé près d’un tiers des 63 millions de dollars de liquidités totales du protocole Ostium.
- •L’attaquant a manipulé le smart contract PriceUpKeep avec des rapports de prix à date future, déclenchant le paiement frauduleux.
Ce que le marché n'a pas encore tranché
Ostium n’a pas encore confirmé la cause exacte de l’incident ni le montant final des pertes après la suspension du trading le 5 juin 2026 ; si la plateforme ne clarifie pas rapidement ces points, l’incertitude sur la sécurité de ses contrats et la récupération potentielle des 18 à 22 millions de dollars drainés restera entière.

