About Teletype
Join
тимурка и крипта
@cryptotimurka
October 15

Оракул, оракул, оракул: как дизайн ценового фида превратил $60 миллионов в катастрофу на $19 миллиардов

перевел и структурировал: https://t.me/cryptotimurka

оригинал: https://x.com/yq_acc/status/1977433963728867630

10–11 октября 2025 года сброс активов на $60 миллионов уничтожил $19,3 миллиарда стоимости. Не из-за краха рынка. Не из-за цепных маржин-коллов по действительно обесценившимся позициям. А из-за сбоя оракула.
Это не было чем-то новым. Та же схема атаки успешно использовалась с февраля 2020 года, стоив индустрии сотни миллионов долларов в десятках инцидентов. Октябрь 2025 года стал усилением предыдущих атак на оракулы в 160 раз — не из-за технической изощрённости, а потому, что система выросла в масштабе, сохранив те же фундаментальные уязвимости.
Пять лет дорогостоящих уроков — проигнорированы. Этот анализ объясняет, почему.

Дилемма оракула: чувствительность против стабильности

Каждая платформа с плечом сталкивается с одним базовым вызовом:
как точно оценивать стоимость залога, не позволяя при этом манипулировать ценами.

Слишком чувствительный оракул → подвержен манипуляциям
Слишком стабильный → пропускает реальные риски обесценивания

В октябре 2025-го выбрали чувствительность. Оракул честно отслеживал спотовые цены, когда $60 миллионов были вброшены в рынок, снижая стоимость залога в реальном времени и вызывая массовые ликвидации.
Система работала точно так, как была спроектирована.
Проблема в том, что дизайн был катастрофически ошибочен.

Пятилетний шаблон, который мы не захотели увидеть

Прежде чем разбирать октябрь 2025-го, нужно понять: мы уже проходили это.

Чертёж (2020–2022)

Февраль 2020: bZx ($350K + $630K)
Оракул на одном источнике. Манипуляция ценой WBTC на Uniswap через флеш-кредит.
14,6% всего предложения токена перемещено, чтобы изменить ценовой фид, на который bZx полагался исключительно.

Октябрь 2020: Harvest Finance ($24M украдено, $570M вывод ликвидности)
За семь минут флеш-кредитом на $50M была манипулирована цена стейблкоинов в Curve. Это вызвало коллапс инфраструктуры и массовый отток ликвидности, многократно превышавший изначальную сумму кражи.

Ноябрь 2020: Compound ($89M ликвидировано)
DAI вырос до $1,30 на Coinbase Pro — нигде больше. Compound использовал Coinbase как источник цены.
Пользователей ликвидировали по ценам, существовавшим только на одной бирже в течение часа.
Для манипуляции ордербуком глубиной 300K требовалось всего $100K.

Октябрь 2022: Mango Markets ($117M)
$5M стартового капитала. Токен MNGO разогнан на 2394% на нескольких площадках.
На раздутый залог взято в долг $117M.
Потом атакующий использовал украденные токены управления, чтобы проголосовать сам себе $47M «баг-баунти».
Это стало первым случаем правоприменения CFTC по манипуляции оракулом.

Общая логика всех атак

  1. Определи, от какого источника зависит оракул.
  2. Посчитай: если стоимость манипуляции < потенциальная прибыль → атакуй.
  3. Проведи операцию.
  4. Зафиксируй прибыль.

С 2020 по 2022 годы: $403,2 миллиона украдены через 41 атаку на оракулы.
Реакция индустрии: раздробленная, медленная, неполная. Большинство платформ продолжали использовать оракулы, основанные на спотовых данных, с недостаточной избыточностью.
Затем пришёл октябрь 2025-го.

Анатомия сбоя оракула: версия 2025

10 октября 2025 года, 5:43 утра: $60 миллионов USDe сброшены на спотовых рынках.
В правильно спроектированном оракуле это вызвало бы минимальный эффект — шум, поглощённый множеством независимых источников.
В этом оракуле — катастрофа.

$60M спотовый дамп →
Оракул снижает оценку залога (wBETH, BNSOL, USDe) →
Массовые ликвидации → Перегрузка инфраструктуры → Вакуум ликвидности →
$19,3 миллиарда уничтожено.

Коэффициент усиления

  • Mango Markets (2022): $5M → $117M (23x)
  • Октябрь 2025: $60M → $19,3B (322x)

Причина — не в сложности атаки. Просто та же уязвимость существовала на институциональном уровне.

Проблема распределения веса

Оракул слишком сильно зависел от спотовых цен с одной доминирующей площадки.
Когда один рынок контролирует основной объём торгов:

  • Высокий объём создаёт иллюзию достоверного ценообразования (кажется логичным)
  • Но концентрация делает систему уязвимой к манипуляции (фатально)
  • Использование внутренних цен создаёт самореферентный цикл (усугубляет проблему)

Как метко сказал один аналитик:

«Поскольку [биржа] имеет наибольший объём по usde/bnsol/wbeth, логично, чтобы оракул ссылался именно на эту спотовую цену.»

Это интуитивное доверие «самому большому рынку» за пять лет уничтожило миллиарды.
Концентрация объёма — не доказательство точности цены. Это доказательство возможности манипуляции.

Запланированное окно уязвимости

Методология оракула была анонсирована за восемь дней до внедрения.
У атакующего было:

  • известная зависимость оракула,
  • предсказуемое время перехода,
  • восемь дней на подготовку.

Предыдущие атаки эксплуатировали существующие уязвимости.
Октябрь 2025-го — уязвимость переходного периода, созданную самим объявлением улучшений.

Тест на изоляцию площадки

Главное доказательство, что это был сбой оракула, а не падение актива:

  • Основная биржа: USDe $0.6567, wBETH $430
  • Другие биржи: отклонения менее 0.3%
  • Ончейн-пулы: минимальное воздействие

Как отметил Guy из Ethena, «более $9 млрд обеспеченных стейблкоинов оставались доступными для мгновенного погашения» в течение события.
Цены двигались резко только на площадке-источнике оракула, оставаясь стабильными везде.
Оракул зафиксировал манипулированную цену, и система ликвидировала позиции, которых не существовало нигде в реальном рынке.
Это тот же шаблон Compound 2020 — локальная манипуляция, корректно зачитанная оракулом, системно разрушительная.

Каскад инфраструктуры

Аналитик agintender объяснил механизм усиления:

«Каскад ликвидаций перегрузил серверы миллионами запросов.
Маркетмейкеры не успели ставить ордера, возник вакуум ликвидности.»

Это тот же паттерн, что у Harvest Finance, только в масштабах институционального уровня.
Атака запускает ликвидации быстрее, чем инфраструктура способна их обработать.
Маркетмейкеры не успевают реагировать → ликвидность исчезает → каскад становится самоподдерживающимся.

После коллапса Harvest в октябре 2020 (TVL упал с $1B до $599M) урок был очевиден:
оракулы должны учитывать пропускную способность инфраструктуры во время стресс-событий.
Октябрь 2025 показал, что мы не усвоили этот урок.

Компромисс чувствительности: два подхода — один крах

Guy из Ethena чётко сформулировал основную задачу дизайна:
оракулы должны различать временные рыночные шумы и реальные потери стоимости.

В октябре 2025-го было два подхода:

1. Высокая чувствительность (провалившаяся биржа)

  • Реальные спотовые цены
  • Мгновенная реакция
    → Результат: $19 млрд каскад ликвидаций
    Это подход bZx/Harvest: доверяй рынку — и погибай от манипуляции.

2. Высокая стабильность (уцелевшие DeFi-протоколы)

  • Жёстко задано USDe = USDT
  • Игнор временных колебаний
    → Результат: отсутствуют ликвидации

Это гиперкомпенсация. Лучше, чем катастрофа, но не оптимально.
Индустрия имела пять лет, чтобы создать сбалансированные решения —
в итоге получила два крайних варианта, и институциональный выбрал худший.

Теорема атаки на оракул: теперь эмпирически доказана

Теорема:
В любой системе с плечом, где

  • цены оракула зависят от манипулируемых спотовых рынков,
  • ликвидации запускаются детерминированно,
  • инфраструктура имеет предел пропускной способности,
    → стоимость манипуляции < извлекаемая прибыль через каскад ликвидаций.

Доказано повторением:

  • bZx (фев 2020): Uniswap → $350K + $630K
  • Harvest (окт 2020): Curve → $24M + $570M бегства
  • Compound (ноя 2020): Coinbase → $89M ликвидаций
  • Mango (окт 2022): мультиплатформенно → $117M
  • Октябрь 2025: основная площадка → $19.3B разрушено

Масштаб системы растёт линейно, ущерб — экспоненциально.
Стоимость атаки почти постоянна (определяется ликвидностью площадки),
а потенциальный убыток растёт вместе с общим объёмом плечей.
Октябрь 2025 подтвердил теорему на беспрецедентном уровне.

Принципы проектирования оракулов: уроки, которые следовало выучить

1. Множественная валидация источников

Никогда не полагайся на одну биржу, особенно на свою собственную.
Правильный дизайн:

Цена оракула = взвешенная средняя:
  40% — несколько бирж
  30% — ончейн-пулы ликвидности
  20% — конверсионные коэффициенты обёрнутых активов
  10% — временно усреднённые исторические цены

Главное — независимость источников.
Если все их можно манипулировать одновременно — у тебя один источник, а не много.

2. Адаптивная чувствительность

Оракул должен подстраиваться под волатильность:

  • В норме — высокая чувствительность
  • При волатильности — больше усреднения
  • При экстремальных движениях — аварийные стопы и sanity-чек

TWAP-оракулы появились именно после флеш-атак 2020 года,
но в октябре 2025-го системы снова реагировали на спот в реальном времени —
словно ничего из этого не происходило.

3. Устойчивость инфраструктуры

Оракулы должны функционировать даже во время каскадов:

  • отдельные сервера для фидов цен
  • резерв мощности под миллионы запросов
  • «грациозная деградация» под нагрузкой

После коллапса Harvest в 2020 стало очевидно:
при ликвидациях нагрузка растёт экспоненциально,
и нужно выдерживать не первую, а тысячную ликвидацию подряд.

4. Прозрачность без уязвимости

Окно в 8 дней между анонсом и внедрением создало идеальный вектор атаки.
Лучше:

  • применять обновления сразу после анонса,
  • использовать плавающие даты без фиксированных сроков,
  • сохранять аудит без публичного предпросмотра.

Урок из теории игр прост: не объявляй заранее, когда система уязвима.

Академический взгляд: формальная теорема атаки

Теорема (подтверждена эмпирически):
Если цены оракула зависят от манипулируемых рынков,
ликвидации автоматические,
а инфраструктура ограничена,
то стоимость манипуляции < прибыль от каскада.

Подтверждения:

  • bZx (фев 2020): $10M флеш-заём → $350K украдено
  • Harvest (окт 2020): $50M флеш-заём → $24M + $570M отток
  • Compound (ноя 2020): $100K ордербук → $89M ликвидаций
  • Mango (окт 2022): $5M → $117M
  • Октябрь 2025: $60M → $19.3B

Рост масштаба → экспоненциальный рост ущерба.
Октябрь 2025 — эмпирическое доказательство на новом уровне.
Теорема подтверждена.

Системные последствия: уроки, всё ещё не усвоенные

Это был не просто сбой одной платформы.
Это обнажило уязвимости всей индустрии, несмотря на пять лет дорогих уроков.

1. Чрезмерная зависимость от спотовых цен

Большинство платформ до сих пор используют спот-оракулы,
хотя все атаки с 2020 года били именно по ним.
Реальное время кажется точным — до тех пор, пока кто-то не воспользуется этим против тебя.

2. Риск концентрации

Доминирующая площадка = единая точка отказа.
bZx зависел от Uniswap, Compound — от Coinbase,
а в 2025-м — биржа от собственного ордербука.
Биржа меняется, уязвимость остаётся.

3. Ошибочные предположения об инфраструктуре

Системы, рассчитанные на «нормальный рынок», ломаются при стресс-тесте.
Harvest доказал это в 2020. Октябрь 2025 — снова.
Надежда — не стратегия.

4. Парадокс прозрачности

Анонс улучшений создаёт окно для атаки.
Промежуток между объявлением и внедрением дал хакерам дорожную карту и тайминг.
Это новая форма старой проблемы:
теперь уязвим не код, а сам процесс обновления.

Путь вперёд: как действительно научиться

Немедленные улучшения

1. Гибридные оракулы
Объединять источники с реальными sanity-чеками:

  • CEX-цены (с весом по объёму)
  • DEX-цены (только из ликвидных пулов)
  • ончейн-proof-of-reserves
  • лимиты отклонений между биржами

2. Динамическое взвешивание
Подстраивать чувствительность под волатильность:

  • норма — стандартные веса
  • волатильность — увеличить TWAP-окно
  • экстремум — приостановить ликвидации и проверить расхождения

3. Circuit breakers
Приостанавливать ликвидации при резких скачках:

  • если цены на разных площадках сходятся — это рынок
  • если расхождение локально — это манипуляция
  • если инфраструктура перегружена — пауза до восстановления

4. Масштабирование инфраструктуры
Проектировать систему под нагрузку в 100x от нормы:

  • отдельные фиды
  • независимые движки ликвидации
  • ограничение запросов
  • протоколы graceful degradation

Долгосрочные решения

  1. Децентрализованные сети оракулов — Chainlink, Pyth, UMA.
    Они не идеальны, но лучше, чем спотовые.
    bZx перешёл на Chainlink после атак 2020 — и атаки на оракул прекратились. Не совпадение.
  2. Proof of Reserves — для обёрнутых активов и стейблкоинов.
    USDe должен оцениваться по резервам, а не по ордербуку.
  3. Постепенные ликвидации
    Вводить поэтапно:
  • 1-й уровень — предупреждение
  • 2-й — частичная ликвидация (25%)
  • 3-й — расширенная (50%)
  • 4-й — полная

Это снижает шок и даёт время пользователям.

  1. Мониторинг в реальном времени
    Следить за признаками манипуляции:
  • расхождения цен между площадками
  • необычные объёмы
  • увеличение позиций перед апдейтом оракула

Заключение: напоминание ценой в $19 миллиардов

Каскад ликвидаций 10–11 октября 2025 года не был вызван перегрузом позиций или паникой.
Это был системный сбой дизайна оракула.
Действие на $60 миллионов привело к уничтожению $19 миллиардов,
потому что система не смогла отличить манипуляцию от реального движения рынка.

Но это не новый сценарий — тот же, что:

  • разрушил bZx (фев 2020),
  • обрушил Harvest (окт 2020),
  • ликвидировал Compound (ноя 2020),
  • опустошил Mango (окт 2022).

Индустрия уже заплатила за этот урок трижды — теперь заплатила в 50 раз больше.

2020 — отдельные протоколы выучили.
2022 — регуляторы поняли.
2025 — понял весь рынок, заплатив $19.3 млрд за обучение.

Остался один вопрос: мы запомним этот урок наконец?

Любая платформа с плечом должна спросить себя:

  • наш оракул защищён от известных векторов 2020–2022?
  • наша инфраструктура выдержит каскад ликвидаций?
  • мы сбалансировали чувствительность и устойчивость?

Потому что, как показали пять лет истории,
манипуляция оракулом — не гипотетический риск,
а повторяющаяся, прибыльная стратегия, масштаб которой растёт вместе с рынком.

Октябрь 2025 показал, что бывает, если уроки не усваиваются на институциональном уровне.
Атака не была сложной — просто тот же сценарий, разыгранный против большей системы в заранее известное окно.

Оракул — это фундамент.
Когда он трескается, рушится всё, что стоит на нём.
Мы знаем это с февраля 2020.
Мы уже заплатили миллиарды, чтобы выучить это.
Вопрос только один: станет ли октябрь 2025 года уроком, который мы наконец усвоим?

В современном взаимосвязанном рынке дизайн оракула — это не просто подача данных,
а вопрос системной устойчивости.
Ошибись в нём — и $60 миллионов способны уничтожить $19 миллиардов.
Ошибайся снова — и ты уже не учишься на истории.
Ты просто повторяешь её — всё дороже и дороже.

подписывайтесь на https://t.me/cryptotimurka

тимурка и крипта
October 15, 16:34
0 views
0 reactions
0 replies
0 reposts