Oracles
Конечно. Вот перевод текста, сохраняющий все оригинальные термины и финансово-технический лексикон.
Oracle, Oracle, Oracle: Как дизайн оракулов превратил $60 миллионов в катастрофу на $19 миллиардов
YQ
@yq_acc
·
13 ч.
10-11 октября 2025 года дамп на рынке объемом $60 миллионов уничтожил $19,3 миллиарда стоимости. Не через обвал рынка. Не через каскад маржин-коллов по обоснованно обесценившимся позициям. Через отказ оракула.
Это не было чем-то новым. Одна и та же атака успешно эксплуатировалась с февраля 2020 года, стоив индустрии сотни миллионов в ходе десятков инцидентов. Октябрь 2025 года представляет собой 160-кратное усиление самой крупной предыдущей атаки на оракул — не из-за технической сложности, а потому что базовая система масштабировалась, сохраняя те же фундаментальные уязвимости.
Пять лет дорогостоящих уроков, проигнорированных. Это анализ — о том, почему.
Дилемма Оракула: Чувствительность vs. Стабильность
Каждая leveraged-платформа сталкивается с одной фундаментальной проблемой: Как точно оценивать залог, предотвращая манипуляции?
Слишком чувствительный → атаки манипуляции
Слишком стабильный → не улавливать реальное обесценивание
Октябрь 2025 года выбрал чувствительность. Оракул добросовестно отслеживал спотовые цены, пока $60 миллионов сбрасывались на рынки, marking down залог в реальном времени, triggering массовые ликвидации. Система работала именно так, как была спроектирована.
Дизайн был катастрофически ошибочным.
Пятилетний паттерн, который мы отказались видеть
Прежде чем анализировать октябрь 2025, поймите: мы уже были здесь.
· Февраль 2020: bZx ($350K + $630K) Single-source oracle. Манипуляция ценой WBTC на Uniswap с помощью flash loan. 14,6% от общего объема предложения было перемещено для манипуляции feed, на который bZx полагался исключительно.
· Октябрь 2020: Harvest Finance ($24M украдено, $570M банкран) Семь минут. $50M flash loan. Манипулировал ценами стейблкоинов на Curve. Triggered коллапс инфраструктуры и отзыв ликвидности, который затмил первоначальную кражу.
· Ноябрь 2020: Compound ($89M ликвидировано) DAI вырос до $1,30 на Coinbase Pro — и нигде больше. Oracle Compound использовал Coinbase как baseline. Пользователи были ликвидированы на основе цен, которые существовали на одной бирже в течение одного часа. Потребовалось $100K для манипуляции стаканом заявок с глубиной 300K.
· Октябрь 2022: Mango Markets ($117M) $5M начального капитала. Взвинтил цену токена MNGO на 2394% на нескольких площадках. Занял $117M под раздутый залог. Использовал украденные governance-токены, чтобы проголосовать за собственный "баг-баунти" в $47M. Первый случай принудительных мер CFTC за манипуляцию оракулами.
Общая нить
Каждая атака следовала идентичной логике:
1. Выявить зависимость оракула от манипулируемого источника
2. Рассчитать: Стоимость манипуляции < Извлекаемая ценность
3. Исполнить
4. Прибыль
С 2020 по 2022 год: $403,2 миллиона украдено в ходе 41 атаки на манипуляцию оракулами.
Отраслевой ответ: Фрагментированный. Медленный. Неполный. Большинство платформ продолжили использовать spot-heavy оракулы с недостаточной избыточностью.
Анатомия отказа оракула: Издание 2025 года
10 октября 2025, 5:43 утра: $60 миллионов USDe сброшены на спотовые рынки.
В правильно спроектированном оракуле: минимальное воздействие, поглощенное множеством независимых источников.
В этом оракуле: катастрофа.
$60M спотовый дамп → Oracle marks down залог (wBETH, BNSOL, USDe) →
Массовые ликвидации → Перегрузка инфраструктуры → Вакуум ликвидности → $19.3B уничтожено
· Mango Markets (2022): $5M манипуляции → $117M извлечено (23x)
· Октябрь 2025: $60M манипуляции → $19.3B уничтожено (322x)
Не из-за сложности. А потому что та же уязвимость существовала в институциональном масштабе.
Проблема распределения весов
Оракул сильно полагался на спотовые цены с основной торговой площадки. Когда одна площадка доминирует в объеме:
· Высокий объем предполагает, что price discovery происходит там (кажется рациональным)
· Но концентрация создает уязвимость для манипуляции (является фатальной)
· Использование исключительно внутренних цен создает самореферентную петлю (усугубляет проблему)
Наблюдение одного аналитика captures ошибочную логику: «поскольку [биржа] имеет наибольший объем по парам usde/bnsol/wbeth, даже на основе весов оракула, он должен ссылаться на спотовую цену».
Эта интуиция — «доверяй самому большому рынку» — уничтожила миллиарды за пять лет атак на оракулы. Концентрация объема — не доказательство точности цены. Это доказательство возможности манипуляции.
Запланированное окно уязвимости
Обновления методологии оракула были анонсированы за восемь дней до внедрения. У атакующего было:
· Известные зависимости оракула
· Предсказуемое время перехода
· Восемь дней для позиционирования и подготовки
Предыдущие атаки на оракулы эксплуатировали существующие уязвимости. Октябрь 2025 эксплуатировал переход между методологиями оракулов — уязвимость, которая существовала только потому, что улучшения были анонсированы до внедрения.
Самое ясное доказательство того, что это был отказ оракула, а не обесценивание актива:
· Основная биржа: USDe на $0.6567, wBETH на $430
· Другие площадки: отклонения <30 базисных пунктов
· Ончейн-пулы: Минимальное воздействие
Как отметил Guy из Ethena: «$9 млрд+ коллатерала стейблкоина по требованию было доступно для немедленного выкупа» на протяжении всего события.
Цены значительно двигались на бирже-источнике для оракула, оставаясь стабильными везде else. Оракул reported манипулируемую цену. Система ликвидировала на основе цен, которых больше нигде на рынке не существовало.
Это паттерн Compound 2020: манипуляция на изолированной площадке, добросовестно reported, системно разрушительная.
Аналитик agintender identified механизм усиления:
«каскадная ликвидация вызвала занятость серверов миллионами запросов. Маркет-мейкеры не могли вовремя выставить ставки, что вызвало вакуум ликвидности»
Это паттерн Harvest Finance в масштабе. Атака triggers ликвидации быстрее, чем инфраструктура может их обработать. Маркет-мейкеры не могут ответить. Ликвидность исчезает. Каскад становится самоподдерживающимся.
После коллапса инфраструктуры Harvest в октябре 2020 (TVL упал с $1B до $599M, так как пользователи бежали), урок был очевиден: системы оракулов должны учитывать capacity инфраструктуры во время стрессовых событий.
Октябрь 2025 доказал, что мы его не усвоили.
Компромисс чувствительности: Два подхода, одна катастрофа
Guy из Ethena articulated основную проблему дизайна: Оракулы должны различать временные диспропорции (рыночный шум) и постоянные обесценивания (реальные потери).
Октябрь 2025 показал два ответа:
· Подход Высокой Чувствительности (Потерпевшая биржа)
· Цены в реальном времени
· Быстрая реакция рынка
· Результат: Каскад на $19B
· Это подход bZx/Harvest: доверяй спотовым рынкам, будь уничтожен манипуляцией.
· Подход Высокой Стабильности (Выжившие в DeFi)
· Жестко заданный USDe = USDT
· Игнорирование временных диспропорций
· Результат: Никаких ликвидаций
· Это перекорректированность. Лучше, чем провал, но не оптимально.
У индустрии было пять лет, чтобы разработать нюансированные решения. Мы не получили ни оптимального, ни приемлемого — мы получили обе крайности, причем институциональный масштаб выбрал катастрофическую.
Теорема об Атаке на Оракул: Теперь Эмпирически Подтверждена
Теорема: В любой leveraged-системе, где:
1. Цены оракула зависят в первую очередь от манипулируемых спотовых рынков
2. Триггеры ликвидации детерминированы
3. Инфраструктура имеет лимиты capacity
Тогда: Стоимость манипуляции < Извлекаемая ценность через каскады
Доказательство путем повторяющейся демонстрации:
· bZx (Фев 2020): Манипуляция Uniswap → извлечено $350K + $630K
· Harvest (Окт 2020): Манипуляция Curve → украдено $24M + triggered банкран на $570M
· Compound (Ноя 2020): Манипуляция Coinbase → ликвидировано $89M
· Mango (Окт 2022): Манипуляция на нескольких площадках → извлечено $117M
· Октябрь 2025: Манипуляция основной площадкой → уничтожено $19.3B
По мере линейного роста масштаба системы, ущерб масштабируется экспоненциально. Стоимость манипуляции остается примерно постоянной (определяется ликвидностью на площадке), но извлекаемая ценность растет с общим leverage системы.
Октябрь 2025 подтверждает теорему в беспрецедентном масштабе.
Принципы дизайна оракулов: Уроки, которые мы должны были усвоить
1. Много-источникная валидация
Никогда не полагайтесь на цены с одной площадки, особенно из собственных стаканов. Это был урок bZx от февраля 2020. Правильный дизайн оракула требует:
Цена Оракула = Взвешенное Среднее:
· Цены с нескольких площадок (40%)
· Ончейн-пулы ликвидности (30%)
· Коэффициенты конвертации для wrapped-активов (20%)
· Взвешенные по времени исторические цены (10%)
Веса имеют меньшее значение, чем независимость. Если все ваши источники можно манипулировать одновременно с разумным капиталом, у вас один источник, а не много.
2. Адаптивная чувствительность
Оракулы должны корректировать чувствительность в зависимости от рыночных условий:
· Нормальные рынки: Высокая чувствительность к изменениям цены
· Волатильные рынки: Повышенная стабильность через time-weighting
· Экстремальные движения: Автоматические выключатели и проверки на адекватность
Оракулы Time-Weighted Average Price (TWAP) были широко adopted после атак flash loan в 2020 году specifically чтобы предотвратить манипуляцию одной транзакцией. Тем не менее, оракулы октября 2025 года реагировали на спотовые цены в реальном времени, как будто предыдущих пяти лет никогда не было.
3. Устойчивость инфраструктуры
Системы оракулов должны сохранять функциональность во время каскадных событий:
· Отдельная инфраструктура для price feeds
· Capacity для миллионов одновременных запросов
· Graceful degradation под нагрузкой
После коллапса инфраструктуры Harvest Finance в октябре 2020, важность capacity системы во время стресса стала очевидной. Каскады ликвидаций генерируют экспоненциально растущую нагрузку. Ваша инфраструктура должна обрабатывать не только первую ликвидацию, но и тысячную одновременную ликвидацию, когда маркет-мейкеры не успевают, а пользователи паникуют.
4. Прозрачность без уязвимости
Восьмидневное окно между анонсом и внедрением создало известный вектор атаки. Лучшие подходы:
· Внедряйте изменения сразу после анонса
· Используйте rolling updates без фиксированных дат
· Ведите аудит-логи без preview-периодов
Это новый урок, хотя он логически следует из теории игр: никогда не анонсируйте эксплуатируемые изменения заранее. У атакующего в октябре 2025 было восемь дней на планирование, позиционирование и подготовку. Они знали точно, когда откроется окно уязвимости.
Академическая перспектива: Теорема об Атаке на Оракул
С теоретической точки зрения, пять лет эмпирических доказательств подтверждают:
Теорема: В любой leveraged-системе, где:
1. Цены оракула зависят в первую очередь от манипулируемых спотовых рынков
2. Триггеры ликвидации детерминированы
3. Инфраструктура имеет лимиты capacity
Тогда: Стоимость манипуляции < Извлекаемая ценность через каскады
Доказательство путем повторяющейся эмпирической валидации:
· bZx (Фев 2020): $10M занято, извлечено $350K. Манипуляция оракулом через Uniswap.
· Harvest (Окт 2020): $50M flash loan, украдено $24M + triggered банкран на $570M.
· Compound (Ноя 2020): Манипуляция стаканом на $100K, ликвидировано $89M.
· Mango (Окт 2022): $5M начального капитала, извлечено $117M.
· Октябрь 2025: $60M спотовый дамп, уничтожено $19.3B.
Прогрессия ясна: по мере линейного роста масштаба системы, ущерб масштабируется экспоненциально. Стоимость манипуляции остается относительно постоянной (определяется ликвидностью на манипулируемых площадках), но извлекаемая ценность растет с общим leverage системы.
Октябрь 2025 предоставляет эмпирическую валидацию в беспрецедентном масштабе. Теорема подтверждается.
Системные последствия: Уроки, которые все еще не усвоены
Это был не просто провал одной платформы — это обнажило общеотраслевые уязвимости, которые сохранялись, несмотря на пять лет дорогого обучения:
1. Чрезмерная зависимость от спотовых цен
Большинство платформ все еще используют spot-heavy дизайн оракулов, несмотря на то, что каждая крупная атака с 2020 года эксплуатировала именно эту уязвимость. Индустрия знает, что спотовыми ценами можно манипулировать. Индустрия знает, что TWAP и много-источникные оракулы обеспечивают лучшую защиту. Тем не менее, внедрение остается неполным.
Почему? Скорость и чувствительность — это фичи, пока они не становятся багами. Обновления цен в реальном времени кажутся более точными — до тех пор, пока их кто-нибудь не сманипулирует.
2. Риск концентрации
Доминирующие площадки создают единые точки отказа. Это было верно, когда bZx полагался на Uniswap, когда Compound полагался на Coinbase, и когда платформа октября 2025 полагалась на собственный стакан. Площадка меняется; уязвимость — нет.
Когда на одной бирже сосредоточена большая часть торгового объема, использование ее в качестве основного источника для оракула кажется рациональным. Но риск концентрации в price feeds похож на риск концентрации в любой системе: все хорошо, пока кто-то не воспользуется этим.
3. Предположения об инфраструктуре
Системы, спроектированные для нормальных рынков, катастрофически проваливаются в условиях стресса. Harvest Finance доказал это в 2020. Октябрь 2025 доказал, что мы все еще проектируем для нормальных условий и надеемся, что стресса никогда не случится.
Надежда — не стратегия.
4. Парадокс прозрачности
Анонсирование улучшений создает окна для атак. Восьмидневный промежуток между анонсом и внедрением изменений оракула дал sophisticated-игрокам дорожную карту и таймлайн. Они знали точно, когда наносить удар и что эксплуатировать.
Это новый режим отказа для старой проблемы. Предыдущие атаки на оракулы эксплуатировали существующие уязвимости. Октябрь 2025 эксплуатировал переход между методологиями оракулов — уязвимость, которая существовала только потому, что улучшения были анонсированы до внедрения.
Путь вперед: На этот раз действительно научиться
1. Гибридный дизайн оракула
Комбинируйте несколько источников цен с проверками на адекватность, которые действительно работают:
· Цены CEX (с взвешиванием по объему across площадок)
· Цены DEX (только из пулов с высокой ликвидностью)
· Ончейн proof of reserves
· Лимиты отклонений между биржами
Каждый источник должен быть независимым. Если манипуляция одним источником влияет на другой, у вас нет избыточности.
2. Динамическое взвешивание
Корректируйте чувствительность оракула на основе рыночных условий:
· Нормальная волатильность: Стандартные веса
· Высокая волатильность: Увеличивайте TWAP-окно, уменьшайте влияние spot
· Экстремальные движения: Приостанавливайте ликвидации, сначала расследуйте
Атака на Compound показала, что иногда «правильная» цена на одной бирже неверна для всего рынка. Ваш оракул должен быть достаточно умным, чтобы знать это.
3. Автоматические выключатели
Приостанавливайте ликвидации во время экстремальных ценовых движений — не чтобы предотвратить обоснованное deleveraging, а чтобы отличить манипуляцию от рыночной реальности:
· Если цены сходятся across площадкам в течение минут: вероятно, реально
· Если цены остаются изолированными на одной площадке: вероятно, манипуляция
· Если инфраструктура перегружена: приостановить до восстановления capacity
Цель — не предотвратить все ликвидации. Цель — предотвратить каскадные ликвидации, triggered манипулируемыми ценами.
4. Масштабирование инфраструктуры
Проектируйте под 100x нормальной capacity, потому что именно это генерируют каскады:
· Отдельная инфраструктура для price feeds
· Независимые движки ликвидаций
· Rate limiting для отдельных адресов
· Протоколы graceful degradation
Если ваша система не может справиться с нагрузкой во время каскада, она усилит каскад. Это требование к дизайну, а не оптимизация.
1. Децентрализованные сети оракулов
Переходите к зрелым решениям оракулов, таким как Chainlink, Pyth или UMA, которые агрегируют across источники и имеют встроенную защиту от манипуляций. Они не идеальны, но они лучше, чем spot-зависимые оракулы, которые эксплуатируются каждые 18 месяцев.
bZx интегрировал Chainlink после своих атак 2020 года. Их перестали атаковать через манипуляцию оракулами. Это не совпадение.
2. Интеграция Proof of Reserves
Для wrapped-активов и стейблкоинов проверяйте стоимость залога on-chain. USDe должен оцениваться на основе верифицируемых резервов, а не динамики стакана. Технология существует; внедрение отстает.
3. Постепенные ликвидации
Предотвращайте усиление каскада через поэтапную ликвидацию:
· Первый порог: Предупреждение и время на добавление залога
· Второй порог: Частичная ликвидация (25%)
· Третий порог: Более крупная ликвидация (50%)
· Финальный порог: Полная ликвидация
Это дает пользователям время на реакцию и снижает системный шок от массовых одновременных ликвидаций.
4. Аудитинг в реальном времени
Мониторьте попытки манипуляции оракулами:
· Отклонения цен между биржами
· Необычный объем на low-liquidity парах
· Быстрое увеличение размера позиций перед обновлениями оракула
· Сопоставление с образцами известных сигнатур атак
Атака в октябре 2025 года, вероятно, показывала предупреждающие знаки. Кто-то сбрасывает $60M USDe в 5:43 утра — это должно вызывать алерты. Если ваш мониторинг этого не поймал, ваш мониторинг недостаточен.
Выводы: Напоминание за $19 миллиардов
Каскад ликвидаций 10-11 октября не был вызван чрезмерным leverage или рыночной паникой — это был провал дизайна оракула в масштабе. Рыночное действие объемом $60 миллионов было усилено до уничтожения $19 миллиардов, потому что системы price feed не могли отличить манипуляцию от легитимного price discovery.
Но это не новый режим отказа. Это тот же режим отказа, который уничтожил bZx в феврале 2020, Harvest в октябре 2020, Compound в ноябре 2020 и Mango в октябре 2022.
Индустрии преподавали этот урок пять раз, с растущей стоимостью:
· 2020: Отдельные протоколы научились, внедрили исправления
· 2022: Регуляторы научились, начали принудительные меры
· 2025: Весь рынок научился, заплатил $19,3 миллиарда за обучение
Единственный вопрос сейчас: запомним ли мы наконец этот урок.
Каждая платформа, работающая с leveraged-позициями, должна теперь задать себе вопросы:
· Устойчив ли наш оракул к известным векторам атак с 2020-2022 годов?
· Сможет ли наша инфраструктура обработать каскадные сценарии, которые мы уже видели?
· Правильно ли мы сбалансировали чувствительность со стабильностью?
· Повторяем ли мы те же ошибки, которые стоили индустрии сотни миллионов?
Потому что, как доказывает пятилетняя история, манипуляция оракулами — не гипотетический риск или крайний случай — это документированная, повторяющаяся, прибыльная стратегия атаки, которая масштабируется с размером рынка.
Октябрь 2025 года продемонстрировал, что происходит, когда эти уроки не усваиваются в институциональном масштабе. Атака не была сложной или новой. Это был просто тот же самый playbook, примененный против более крупной системы, во время известного окна уязвимости.
Оракул — это фундамент. Когда он трескается, все над ним рушится. Мы знали это с февраля 2020 года. Мы заплатили миллиарды, чтобы многократно это усвоить. Единственный вопрос — был ли октябрь 2025 года достаточно дорогим, чтобы заставить нас наконец действовать в соответствии с тем, что мы уже знаем.
В современных взаимосвязанных рынках дизайн оракула — это не просто вопрос data feeds — это вопрос системной стабильности. Ошибитесь, и $60 миллионов могут уничтожить $19 миллиардов.
Ошибайтесь неоднократно, и вы не учитесь на истории. Вы просто становитесь дороже в ее повторении.
Анализ основан на публичных рыночных данных, заявлениях платформ и пятилетних кейс-стади манипуляций оракулами. Выраженные взгляды принадлежат только автору, информированы, но не представляют какую-либо организацию.