Дневник трейдера
Дневник трейдера
2025-10-11 01:27 Самые популярные Рынок

Oracle: как дизайн Price Feed превратил 60 миллионов долларов в катастрофу на 19 миллиардов

10–11 октября 2025 года в результате сброса активов на сумму 60 миллионов долларов было потеряно 19,3 миллиарда долларов. Не из-за обвала рынка. Не из-за каскадных маржин-коллов по законно обесцененным позициям. Из-за сбоя в работе оракула.
В этом не было ничего нового. Одна и та же схема атаки успешно использовалась с февраля 2020 года, что обошлось отрасли в сотни миллионов долларов из-за десятков инцидентов. В октябре 2025 года масштаб самой крупной предыдущей атаки на оракулы увеличился в 160 раз — не из-за технической сложности, а из-за того, что базовая система масштабировалась, сохраняя те же фундаментальные уязвимости.
Пять лет дорогостоящих уроков, которые были проигнорированы. В этом анализе рассматривается причина.

Дилемма оракула: чувствительность против стабильности

Каждая платформа с кредитным плечом сталкивается с одной фундаментальной проблемой: Как точно оценить залог и при этом предотвратить манипуляции?
Слишком чувствительный → подвергается манипуляциям. Слишком стабильный → не замечает реальных проблем
Октябрь 2025 года выбрал чувствительность. Оракул точно отслеживал спотовые цены, когда на рынки выбрасывалось 60 миллионов долларов, что приводило к обесцениванию залога в режиме реального времени и массовым ликвидациям. Система работала именно так, как было задумано.
Дизайн был катастрофически неудачным.

Пятилетний план, который мы отказывались видеть

Прежде чем анализировать октябрь 2025 года, поймите следующее: мы уже проходили через это.
«План» (2020–2022)
Февраль 2020: bZx ($350 000 + $630 000) Оракул с одним источником. Манипуляции с флэш-кредитами для изменения цены WBTC на Uniswap. 14,6 % от общего объёма было перемещено для манипулирования потоком, на который полагался исключительно bZx.
Октябрь 2020 года: Harvest Finance ($24 млн украдено, $570 млн выведено из банка) Семь минут. Экспресс-кредит на $50 млн. Манипуляции с ценами стейблкоинов Curve. Привело к коллапсу инфраструктуры и выводу ликвидности, масштабы которого превзошли первоначальную кражу.
Ноябрь 2020: Compound ($89 млн ликвидировано) Цена DAI на Coinbase Pro подскочила до $1,30 — больше нигде. Oracle Compound использовал Coinbase в качестве базовой платформы. Пользователи были ликвидированы на основании цен, которые существовали на одной бирже в течение одного часа. Для манипулирования книгой заказов с глубиной 300 000 требовалось 100 000 долларов.
Октябрь 2022 года: Mango Markets ($117 млн) Первоначальный капитал — 5 млн долларов. Токен MNGO вырос на 2394 % на нескольких площадках. Занял 117 млн долларов под завышенное обеспечение. Использовал украденные токены управления, чтобы проголосовать за «вознаграждение за обнаружение ошибки» в размере 47 млн долларов. Первое принудительное действие CFTC в отношении манипулирования оракулами.
Общая Нить
Каждая атака следовала одной и той же логике:
  1. Выявление зависимости оракула от манипулируемого источника
  2. Рассчитать: Стоимость манипуляции < Извлекаемое значение
  3. Выполнить
  4. Прибыль
С 2020 по 2022 год: $403,2 миллиона долларов были украдены в результате 41 атаки с использованием оракулов.
Реакция отрасли: фрагментарная. Медленная. Неполная. Большинство платформ продолжали использовать оракулы с высокой нагрузкой и недостаточной избыточностью.
Затем наступил октябрь 2025 года.

Анатомия провала Oracle: издание 2025 года

10 октября 2025 года, 5:43 утра: на спотовые рынки было выброшено 60 миллионов долларов США.
В правильно спроектированном оракуле: минимальное воздействие, распределяемое между несколькими независимыми источниками.
В этом оракуле: катастрофа.
Спот-дамп на 60 млн долларов → Oracle снижает оценку залога (wBETH, BNSOL, USDe) → массовые ликвидации → перегрузка инфраструктуры → вакуум ликвидности → потеря 19,3 млрд долларов
Коэффициент усиления
  • Mango Markets (2022): манипуляция на 5 млн долларов → извлечение 117 млн долларов (в 23 раза больше)
  • Октябрь 2025 года: манипуляция с 60 миллионами долларов → уничтожено 19,3 миллиарда долларов (322 раза)
Не из-за сложности. Потому что такая же уязвимость существовала на институциональном уровне.
Проблема распределения веса
Оракул в значительной степени полагался на спотовые цены с основной торговой площадки. Когда на одной площадке доминирует объём:
  • Большой объём торгов говорит о том, что там происходит определение цены (что кажется рациональным)
  • Но сосредоточенность создаёт уязвимость для манипуляций (что губительно)
  • Использование исключительно внутренних цен приводит к замкнутому циклу (усугубляет проблему)
В наблюдении одного аналитика прослеживается ошибочная логика: «поскольку [биржа] имеет самый большой объём торгов usde/bnsol/wbeth, даже с учётом весов оракула, она должна ориентироваться на спотовую цену. »
Эта интуиция — доверять самому крупному рынку — за пять лет атак на оракулов привела к потере миллиардов. Концентрация объёма не является показателем точности цены. Это показатель возможности манипулирования.
Запланированное окно уязвимости
Об обновлении методологии Oracle было объявлено за восемь дней до внедрения. У злоумышленника были:
  • Известные зависимости oracle
  • Предсказуемые сроки перехода
  • Восемь дней на размещение и подготовку
Предыдущие атаки на оракулы использовали существующие уязвимости. В октябре 2025 года была использована уязвимость, связанная с переходом от одной методологии оракулов к другой— уязвимость, которая существовала только потому, что улучшения были анонсированы до их внедрения.

Тест на Изоляцию Места проведения

Самым явным доказательством этого был сбой в работе Oracle, а не обесценивание активов:
Первичная биржа: USDe по цене $0,6567, wBETH по цене $430 Другие площадки: отклонение менее чем на 30 базисных пунктов Ончейн-пулы: минимальное влияние
Как отметил Гай из Ethena: «На протяжении всего мероприятия для немедленного погашения было доступно обеспечение стейблкоинами на сумму более 9 миллиардов долларов».
Цены резко изменились на бирже, с которой взаимодействовал оракул, в то время как на других биржах они оставались стабильными. Оракул сообщил о манипуляциях с ценой. Система провела ликвидацию на основе цен, которых больше нигде не было на рынке.
Это схема «Комбинация 2020»: манипулирование изолированным местом проведения, добросовестное освещение, систематическое разрушение.

Инфраструктурный Каскад

Аналитик agintender определил механизм усиления:
«Каскадная ликвидация привела к тому, что сервер был перегружен миллионами запросов. Маркет-мейкеры не могли вовремя делать ставки, что привело к дефициту ликвидности»
Это масштабная схема Harvest Finance. Атака приводит к ликвидации активов быстрее, чем инфраструктура может их обработать. Маркет-мейкеры не могут отреагировать. Ликвидность исчезает. Каскад становится самоподдерживающимся.
После сбоя в инфраструктуре Harvest в октябре 2020 года (TVL упал с 1 млрд до 599 млн долларов из-за оттока пользователей) урок был очевиден: системы Oracle должны учитывать возможности инфраструктуры во время стрессовых ситуаций.
Октябрь 2025 года показал, что мы ничему не научились.

Компромисс в вопросах чувствительности: два подхода, одна катастрофа

Гай из Ethena сформулировал основную задачу проектирования: оракулы должны отличать временные отклонения (рыночный шум) от постоянных нарушений (реальные потери).
В октябре 2025 года было получено два ответа:
Высокочувствительный подход (Неудачная сделка)
  • Спотовые цены в режиме реального времени
  • Быстрая реакция рынка
  • Результат: каскад $19 млрд
Это подход bZx/Harvest: доверяй спотовым рынкам, но не позволяй манипулировать собой.
Высокостабильный подход (Выжившие в DeFi)
  • Жестко заданный USDe = USDT
  • Игнорируйте временные вывихи
  • Результат: Никаких ликвидаций
Это избыточная коррекция. Лучше, чем провал, но не оптимально.
У отрасли было пять лет на разработку комплексных решений. Мы не получили ни оптимального, ни приемлемого результата — мы получили обе крайности, причём институциональный масштаб выбрал катастрофическую.

Теорема об атаке оракула: теперь подтверждена эмпирически

Теорема: В любой системе с кредитным плечом, где:
  1. Цены на Oracle зависят в первую очередь от манипулирования на спотовых рынках
  2. Триггеры ликвидации являются детерминированными
  3. Инфраструктура имеет ограничения по пропускной способности
Тогда: Стоимость манипуляций < Извлекаемая ценность с помощью каскадов
Доказательство путем повторной демонстрации:
  • bZx (февраль 2020 года): манипуляция с Uniswap → извлечено 350 000 долларов + 630 000 долларов
  • Harvest (октябрь 2020 года): манипулирование кривой → украдено 24 млн долларов + вывод 570 млн долларов
  • Compound (ноябрь 2020 года): манипуляция Coinbase → ликвидация на сумму 89 миллионов долларов
  • Mango (октябрь 2022 года): манипуляции с несколькими площадками → извлечено 117 миллионов долларов
  • Октябрь 2025 года: манипулирование основным местом проведения → потеря 19,3 млрд долларов
По мере линейного увеличения масштаба системы ущерб возрастает в геометрической прогрессии. Стоимость манипуляций остаётся примерно постоянной (определяется ликвидностью площадки), но извлекаемая ценность растёт вместе с общим системным кредитным плечом.
В октябре 2025 года теорема была подтверждена в беспрецедентных масштабах.

Принципы проектирования Oracle: уроки, которые мы должны были усвоить

1. Проверка из нескольких источников
Никогда не полагайтесь на цены в отдельных торговых площадках, особенно в собственных книгах заявок. Это был урок bZx, полученный в феврале 2020 года. Для правильного построения оракула необходимо:
Цена Oracle = средневзвешенное значение: - цен на нескольких площадках (40 %); - пулов ликвидности в сети (30 %); - коэффициентов конверсии для обернутых активов (20 %); - исторических цен, взвешенных по времени (10 %).
Вес имеет меньшее значение, чем независимость. Если всеми вашими источниками можно управлять одновременно, имея достаточный капитал, то у вас один источник, а не много.
2. Адаптивная Чувствительность
Оракулы должны корректировать чувствительность в зависимости от рыночных условий:
  • Обычные рынки: более высокая чувствительность к изменениям цен
  • Волатильные рынки: повышение стабильности за счёт взвешивания по времени
  • Экстремальные меры: автоматические выключатели и проверка работоспособности
Оракулы средневзвешенной цены по времени (Time-Weighted Average Price, TWAP) получили широкое распространение после атак с использованием флэш-кредитов в 2020 году, в частности для предотвращения манипуляций с отдельными транзакциями. Однако в октябре 2025 года оракулы реагировали на спотовые цены в режиме реального времени, как будто предыдущих пяти лет не было.
3. Устойчивость инфраструктуры
Системы Oracle должны сохранять работоспособность во время каскадных событий.
  • Отдельная инфраструктура для ценовых фидов
  • Возможность обработки миллионов одновременных запросов
  • Постепенная деградация под нагрузкой
После того как в октябре 2020 года рухнула инфраструктура Harvest Finance, важность пропускной способности системы в условиях стресса стала очевидной. Каскады ликвидаций приводят к экспоненциальному росту нагрузки. Ваша инфраструктура должна справляться не только с первой ликвидацией, но и с тысячной одновременной ликвидацией, когда маркет-мейкеры не справляются и пользователи паникуют.
4. Прозрачность без уязвимости
Восьмидневное окно между анонсом и внедрением создало известный вектор атаки. Более эффективные подходы:
  • Внедряйте изменения сразу после объявления
  • Используйте скользящие обновления без фиксированных дат
  • Ведите журналы аудита без периодов предварительного просмотра
Это новый урок, хотя он логически вытекает из теории игр: никогда не сообщайте заранее о возможных уязвимостях. У злоумышленника в октябре 2025 года было восемь дней на планирование, подготовку и размещение. Он точно знал, когда откроется окно уязвимости.

Академическая точка зрения: теорема об атаке оракула

С теоретической точки зрения пятилетние эмпирические исследования доказывают:
Теорема: В любой системе с кредитным плечом, где:
  1. Цены на Oracle зависят в первую очередь от манипулирования на спотовых рынках
  2. Триггеры ликвидации являются детерминированными
  3. Инфраструктура имеет ограничения по пропускной способности
Затем: Стоимость манипулирования < Извлекаемая ценность с помощью каскадов
Доказательство путём многократной эмпирической проверки:
  • bZx (февраль 2020 г.): взято взаймы 10 млн долларов, получено 350 тыс. долларов. Манипуляции с Oracle через Uniswap.
  • Harvest (октябрь 2020 г.): мгновенный кредит на 50 млн долларов, кража на 24 млн долларов + массовое изъятие средств из банка на 570 млн долларов.
  • Compound (ноябрь 2020 г.): манипулирование книгой заявок на сумму 100 000 долларов, ликвидация на сумму 89 млн долларов.
  • Mango (октябрь 2022 г.): начальный капитал — 5 млн долларов, выручка — 117 млн долларов.
  • Октябрь 2025 года: спотовая продажа на 60 млн долларов, убыток в 19,3 млрд долларов.
Тенденция очевидна: по мере линейного увеличения масштаба системы ущерб возрастает в геометрической прогрессии. Стоимость манипуляций остаётся относительно постоянной (определяется ликвидностью на площадках, где возможны манипуляции), но извлекаемая выгода растёт вместе с общим кредитным плечом системы.
Октябрь 2025 года станет периодом эмпирической проверки в беспрецедентных масштабах. Теорема верна.

Системные последствия: уроки, которые мы так и не усвоили

Это был провал не одной платформы — он выявил уязвимые места в масштабах всей отрасли, которые сохранялись, несмотря на пять лет дорогостоящего обучения.
1. Чрезмерная зависимость от спотовых цен
Большинство платформ по-прежнему используют оракулы с высокой долей спотовых данных, несмотря на то, что с 2020 года все крупные атаки использовали именно эту уязвимость. В отрасли знают, что спотовыми ценами можно манипулировать. В отрасли знают, что TWAP и оракулы с несколькими источниками данных обеспечивают лучшую защиту. Однако внедрение этих технологий остаётся незавершённым.
Почему? Скорость и чувствительность — это преимущества, пока они не превращаются в недостатки. Обновление цен в режиме реального времени кажется более точным — до тех пор, пока кто-то не начинает ими манипулировать.
2. Риск концентрации
Доминирующие платформы создают единые точки отказа. Так было, когда bZx полагалась на Uniswap, когда Compound полагалась на Coinbase, а платформа October 2025 полагалась на собственный ордербук. Меняется платформа, но уязвимость остаётся.
Если на одной бирже сосредоточен большой объем торгов, то использование ее в качестве основного источника данных для оракула кажется рациональным. Но риск концентрации в ценовых каналах аналогичен риску концентрации в любой системе: все в порядке, пока кто-то не воспользуется этим.
3. Предположения об инфраструктуре
Системы, разработанные для обычных рынков, катастрофически терпят крах в условиях стресса. Компания Harvest Finance доказала это в 2020 году. Октябрь 2025 года показал, что мы по-прежнему разрабатываем системы для обычных условий и надеемся, что стресс никогда не случится.
Надежда — это не стратегия.
4. Парадокс прозрачности
Объявление об улучшениях создаёт уязвимости. Восьмидневный разрыв между объявлением и внедрением изменений в Oracle дал опытным злоумышленникам план действий и сроки. Они точно знали, когда нанести удар и чем воспользоваться.
Это новый способ решения старой проблемы. Предыдущие атаки на оракулы использовали существующие уязвимости. Атака в октябре 2025 года была направлена на переход от одной методологии оракулов к другой — уязвимость существовала только потому, что улучшения были анонсированы до их внедрения.

Путь вперёд: на этот раз настоящее обучение

Немедленные улучшения
1. Гибридный дизайн OracleОбъедините несколько источников цен с проверками работоспособности, которые действительно работают:
  • Цены CEX (с учетом объема торгов на разных площадках)
  • Цены на DEX (только в пулах с высокой ликвидностью)
  • Ончейн-подтверждение резервов
  • Пределы отклонения при перекрестном обмене
Каждый источник должен быть независимым. Если изменение одного источника влияет на другой, то избыточности нет.
2. Динамическое взвешиваниеНастройка чувствительности оракула в зависимости от рыночных условий:
  • Нормальная волатильность: Стандартные веса
  • Высокая волатильность: увеличьте окно TWAP, уменьшите влияние спота
  • Экстремальные меры: приостановите ликвидацию, проведите расследование, прежде чем продолжать
Атака Compound показала, что иногда «правильная» цена на одной бирже оказывается неверной для всего рынка. Ваш оракул должен быть достаточно умным, чтобы это понимать.
3. Автоматические выключателиПриостанавливают ликвидацию во время резких колебаний цен — не для того, чтобы предотвратить законное сокращение кредитного плеча, а чтобы отличить манипуляцию от рыночной реальности:
  • Если цены на разных площадках выравниваются в течение нескольких минут: скорее всего, это правда
  • Если цены остаются неизменными в одном месте, это, скорее всего, манипуляция
  • Если инфраструктура перегружена: приостановите работу до восстановления ресурсов
Цель состоит не в том, чтобы предотвратить все случаи ликвидации. А в том, чтобы предотвратить каскадную ликвидацию, вызванную манипулированием ценами.
4. Масштабирование инфраструктурыРассчитывайте на 100-кратное увеличение обычной производительности, потому что именно это обеспечивают каскады:
  • Отдельная инфраструктура для ценовых фидов
  • Независимые ликвидационные машины
  • Ограничение скорости для отдельных адресов
  • Протоколы плавной деградации
Если ваша система не справляется с нагрузкой во время каскада, она будет усиливать каскад. Это требование к проектированию, а не оптимизация.
Долгосрочные решения
1. Децентрализованные сети оракуловПерейдите на зрелые решения для оракулов, такие как Chainlink, Pyth или UMA, которые объединяют данные из разных источников и имеют встроенную защиту от манипуляций. Они не идеальны, но лучше, чем зависящие от спотов оракулы, которые эксплуатируются каждые 18 месяцев.
bZx интегрировала Chainlink после атак 2020 года. Они перестали подвергаться атакам с использованием манипуляций с оракулом. Это не совпадение.
2. Интеграция подтверждения резервовДля обернутых активов и стейблкоинов необходимо подтверждать стоимость обеспечения в блокчейне. Цена USDe должна определяться на основе проверяемых резервов, а не динамики книги заказов. Технология существует, но ее внедрение отстает от графика.
3. Постепенная ликвидацияПредотвращение каскадного усиления за счёт поэтапной ликвидации:
  • Первый порог: предупреждение и время для внесения залога
  • Второй порог: частичная ликвидация (25%)
  • Третий порог: более масштабная ликвидация (50 %)
  • Последний рубеж: полная ликвидация
Это даёт пользователям время на ответ и снижает нагрузку на систему из-за массовых одновременных ликвидаций.
4. Аудит в реальном времениОтслеживание попыток манипулирования оракулом:
  • Отклонения кросс-биржевых цен
  • Необычный объём торгов на парах с низкой ликвидностью
  • Быстрый рост размера позиции перед обновлением Oracle
  • Сопоставление шаблонов с известными сигнатурами атак
Атака, произошедшая в октябре 2025 года, вероятно, имела предупреждающие признаки. Если кто-то сбрасывает USDe на сумму 60 миллионов долларов в 5:43 утра, это должно вызывать тревогу. Если ваш мониторинг этого не зафиксировал, значит, он недостаточно эффективен.

Выводы: Напоминание о 19 миллиардах долларов

Каскад ликвидаций 10–11 октября был вызван не чрезмерным использованием заёмных средств или паникой на рынке, а масштабным сбоем в работе системы прогнозирования. Рыночные операции на сумму 60 миллионов долларов привели к убыткам в размере 19 миллиардов долларов, потому что системы прогнозирования цен не могли отличить манипулирование от реального определения цены.
Но это не новый сценарий провала. Это тот же сценарий провала, который привёл к краху bZx в феврале 2020 года, Harvest в октябре 2020 года, Compound в ноябре 2020 года и Mango в октябре 2022 года.
Промышленность уже пять раз получала этот урок, и каждый раз цена росла:
  • 2020 год: изучены индивидуальные протоколы, внедрены исправления
  • 2022 год: регулирующие органы узнали о нарушениях и начали применять меры
  • 2025 год: весь рынок узнал об этом и заплатил 19,3 миллиарда долларов за обучение
Теперь вопрос только в том, усвоили ли мы наконец этот урок.
Каждая платформа, работающая с кредитным плечом, теперь должна спрашивать:
  • Устойчив ли наш оракул к известным векторам атак 2020–2022 годов?
  • Сможет ли наша инфраструктура справиться с каскадными сценариями, которые мы уже наблюдали?
  • Правильно ли мы сбалансировали чувствительность и стабильность?
  • Повторяем ли мы те же ошибки, которые обошлись отрасли в сотни миллионов?
Как показывает пятилетняя история, манипулирование оракулами — это не гипотетический риск или исключительный случай, а задокументированная, повторяющаяся и прибыльная стратегия атак, которая масштабируется в зависимости от размера рынка.
Октябрь 2025 года показал, что происходит, когда эти уроки не усваиваются на институциональном уровне. Атака не была изощрённой или новаторской. Это была всё та же схема, применённая к более крупной системе в период известной уязвимости.
Оракул — это фундамент. Когда он даёт трещину, всё, что находится над ним, рушится. Мы знаем это с февраля 2020 года. Мы потратили миллиарды, чтобы неоднократно убедиться в этом. Вопрос только в том, стоил ли октябрь 2025 года того, чтобы мы наконец начали действовать в соответствии с тем, что уже знаем.
На современных взаимосвязанных рынках разработка оракулов — это не только работа с потоками данных, но и обеспечение системной стабильности. Одна ошибка — и 60 миллионов долларов могут уничтожить 19 миллиардов.
Если вы раз за разом совершаете одну и ту же ошибку, значит, вы не извлекаете уроков из истории. Вы просто тратите всё больше денег на её повторение.
Анализ основан на общедоступных рыночных данных, заявлениях платформы и результатах пятилетних исследований манипуляций с оракулами. Высказанные мнения принадлежат только мне и основаны на информации, полученной от организаций, но не представляют их интересы.