Черный лебедь повторяется: пятилетний цикл уязвимостей оракулов

Рыночная распродажа на 60 миллионов долларов привела к испарению рыночной капитализации на 19.3 миллиардов долларов.

Автор: YQ

Перевод и редакция: Saoirse, Foresight News

(Оригинальный текст был скорректирован и сокращён)

С 10 по 11 октября 2025 года рыночная распродажа на 60 миллионов долларов привела к испарению рыночной капитализации на 19.3 миллиардов долларов. Это произошло не из-за краха рынка и не из-за цепочки маржин-коллов, вызванных легитимными убытками, а из-за сбоя оракула.

Это не новость. С февраля 2020 года аналогичная схема атак успешно использовалась десятки раз, нанося индустрии убытки на сотни миллионов долларов. Атака октября 2025 года была в 160 раз масштабнее крупнейшей предыдущей атаки на оракул — не из-за большей технической сложности, а потому что базовые системы, расширяясь, сохранили те же фундаментальные уязвимости.

Пять лет горьких уроков были проигнорированы. В этом анализе мы рассмотрим причины этого.

2020-2022: «Фиксированный сценарий» атак на оракулы

Перед разбором событий октября 2025 года важно отметить: подобные случаи уже происходили ранее.

Февраль 2020: инцидент bZx (убытки 350 тысяч долларов + 630 тысяч долларов)

Использовался оракул с единственным источником. Злоумышленник с помощью flash loan манипулировал ценой WBTC на Uniswap, перевёл 14.6% от общего предложения токена, чтобы манипулировать ценовыми данными, на которые полностью полагалась платформа bZx.

Октябрь 2020: инцидент Harvest Finance (украдено 24 миллиона долларов, вызван отток ликвидности на 570 миллионов долларов)

Всего за 7 минут злоумышленник с помощью flash loan на 50 миллионов долларов манипулировал ценой стейблкоинов на Curve, что привело не только к краже средств, но и к краху инфраструктуры и массовому выводу ликвидности — масштабы последствий значительно превысили сумму первоначальной кражи.

Ноябрь 2020: инцидент Compound (ликвидировано активов на 89 миллионов долларов)

Стейблкоин DAI на Coinbase Pro вырос до 1.30 доллара, в то время как на других платформах этого не произошло. Оракул Compound использовал Coinbase в качестве ценового ориентира, и пользователи подверглись принудительной ликвидации из-за аномальной цены, которая держалась всего час. На тот момент для манипуляции ордербуком с глубиной 300 тысяч долларов требовалось всего 100 тысяч долларов.

Октябрь 2022: инцидент Mango Markets (убытки 117 миллионов долларов)

Злоумышленник, имея 5 миллионов долларов начального капитала, поднял цену токена MNGO на нескольких платформах на 2394%, после чего взял в долг 117 миллионов долларов под переоценённое обеспечение и, используя украденные токены управления, проголосовал за выплату себе «баунти» в 47 миллионов долларов. Это стало первым случаем, когда CFTC США предприняла меры против манипуляций оракулом.

Все атаки следовали одной и той же схеме:

1. Идентификация зависимости оракула от «манипулируемого источника данных»;
2. Проверка расчётов: стоимость манипуляции < получаемой выгоды;
3. Осуществление манипуляции;
4. Вывод прибыли.

В период с 2020 по 2022 год 41 атака на оракулы привела к краже 403.2 миллионов долларов. Реакция индустрии была разрозненной, медленной и неполной — большинство платформ до сих пор используют оракулы, ориентированные на спотовые цены, с недостаточной избыточностью.

Затем в октябре 2025 года произошла катастрофа.

Анализ уязвимости «10.11»

10 октября 2025 года в 5:43 утра массовая распродажа USDe на 60 миллионов долларов запустила смертельную цепную реакцию:

60 миллионов долларов спотовой распродажи → оракул занижает оценку обеспечения (wBETH, BNSOL, USDe) → массовые принудительные ликвидации → перегрузка инфраструктуры → вакуум ликвидности → испарение рыночной капитализации на 19.3 миллиардов долларов

Это был не провал одной платформы, а проявление уязвимости, существовавшей в индустрии долгие годы — несмотря на огромные потери за пять лет, эти уязвимости так и не были устранены:

1. Чрезмерная зависимость от спотовых цен

Несмотря на то, что каждая крупная атака с 2020 года использовала уязвимость «манипулируемых спотовых цен», большинство платформ до сих пор используют оракулы, ориентированные на спот. Индустрия знает о рисках манипуляции спотовыми ценами, знает, что TWAP и мульти-источниковые оракулы обеспечивают лучшую защиту, но эти решения так и не были внедрены повсеместно.

Корень проблемы: «скорость и чувствительность» считались преимуществом до тех пор, пока не стали уязвимостью. Обновление цен в реальном времени кажется более точным — пока кто-то не вмешается в этот процесс.

2. Риск централизации

Доминирующие торговые платформы создают «единую точку отказа»: bZx зависел от Uniswap, Compound — от Coinbase, платформы в январе и октябре 2025 года — от собственных ордербуков. Суть проблемы не меняется — меняются платформы, но уязвимость остаётся.

Когда одна биржа доминирует по объёму торгов, использование её в качестве основного источника данных для оракула кажется логичным. Но риск централизации в ценовых данных ничем не отличается от любого другого риска централизации: всё кажется нормальным, пока не произойдёт атака.

3. Ошибочные предположения об инфраструктуре

Системы, спроектированные для «нормального рынка», катастрофически проваливаются под давлением. Harvest Finance доказал это ещё в 2020 году, но события октября 2025 года показали, что индустрия всё ещё «проектирует системы на основе нормальных условий и надеется, что стрессовые события не произойдут».

Но «надежда» — это не стратегия.

4. Парадокс прозрачности

Публикация технических улучшений создаёт окно для атак. Интервал между публикацией и внедрением обновления алгоритма оракула (8 дней) дал профессиональным злоумышленникам чёткую дорожную карту и тайминг — они точно знали, когда и какой уязвимостью воспользоваться.

Это «новый сбой старой проблемы»: раньше атаки использовали «существующие уязвимости», а в октябре 2025 года была использована «переходная фаза смены алгоритма оракула» — эта уязвимость возникла только потому, что улучшения были анонсированы заранее.

Пути решения

Мгновенные меры по улучшению

1. Гибридный дизайн оракула

Интеграция нескольких источников цен с эффективной проверкой на разумность:

• Цены централизованных бирж (CEX) (взвешенные по объёму, 40%);
• Цены децентрализованных бирж (DEX) (только высоколиквидные пулы, 30%);
• Ончейн-доказательство резервов (20%);
• Коэффициенты конвертации обёрнутых активов (10%).

Ключ — «независимость источников данных»: если все источники можно манипулировать с разумными затратами, то «мульти-источниковость» по сути превращается в «моно-источник».

2. Динамическая корректировка весов

Корректировка чувствительности оракула в зависимости от рыночных условий:

• В период нормальной волатильности: стандартные веса;
• В период высокой волатильности: увеличение окна TWAP, снижение влияния спотовых цен;
• В период экстремальной волатильности: активация механизма аварийного отключения и проверки на разумность.

Инцидент Compound 2020 года уже показал: иногда «правильная цена» на одной бирже — ошибочна для всего рынка. Оракулы должны уметь выявлять такие отклонения.

3. Механизм аварийного отключения (circuit breaker)

При экстремальных ценовых колебаниях приостанавливать ликвидации — цель не в том, чтобы остановить «разумное снижение плеча», а чтобы отличить «манипуляцию» от «реального рыночного движения»:

• Если цены на нескольких платформах сходятся в течение нескольких минут — скорее всего, это реальная волатильность рынка;
• Если аномалия только на одной платформе — скорее всего, это манипуляция;
• Если инфраструктура перегружена — приостановить ликвидации до восстановления мощности.

Главная цель — не «запретить все ликвидации», а «избежать цепных ликвидаций, вызванных манипуляцией ценой».

4. Масштабирование инфраструктуры

Проектировать системы с запасом в 100 раз по сравнению с нормальной нагрузкой — потому что цепные реакции создают экспоненциальную нагрузку:

• Создать отдельную инфраструктуру для ценовых фидов;
• Развернуть независимый движок ликвидаций;
• Ограничить частоту запросов с одного адреса;
• Внедрить протокол «плавной деградации» (при перегрузке приоритет — основным функциям).

Если система не выдерживает нагрузку цепной реакции, это только усугубляет катастрофу. Это не опция оптимизации, а базовое требование дизайна.

Долгосрочные решения

1. Децентрализованные сети оракулов

Использование зрелых решений оракулов (например, Chainlink, Pyth, UMA), которые агрегируют данные из разных источников и имеют встроенную защиту от манипуляций. Они не идеальны, но гораздо лучше, чем оракулы, зависящие от спота, которые «ломаются каждые 18 месяцев».

bZx после атаки 2020 года интегрировал Chainlink и больше не сталкивался с манипуляциями оракулом — это не совпадение.

2. Интеграция доказательства резервов

Для обёрнутых активов и стейблкоинов необходимо ончейн-подтверждение стоимости обеспечения. Например, цена USDe должна основываться на «проверяемых резервах», а не на «динамике ордербука». Технологии уже существуют, отстаёт только внедрение.

3. Поэтапная ликвидация

Пошаговая ликвидация для предотвращения масштабных цепных реакций:

• Первый порог: предупреждение, время для внесения дополнительного обеспечения;
• Второй порог: частичная ликвидация (25%);
• Третий порог: более крупная ликвидация (50%);
• Финальный порог: полная ликвидация.

Это даёт пользователям время на реакцию и снижает удар по системе от «массовых одновременных ликвидаций».

4. Мониторинг и аудит в реальном времени

Реальное время мониторинга манипуляций оракулом:

• Отклонения цен между платформами;
• Аномальные объёмы торгов в низколиквидных парах;
• Быстрый рост позиций перед обновлением оракула;
• Совпадение с известными паттернами атак.

Атака октября 2025 года должна была вызвать тревогу: в 5:43 утра была распродана USDe на 60 миллионов долларов — такие аномальные сделки должны вызывать срабатывание сигнализации. Если мониторинг этого не заметил, значит, он серьёзно не доработан.

Вывод: предупреждение на 19 миллиардов долларов

Цепные ликвидации 10-11 октября 2025 года были вызваны не «чрезмерным плечом» или «паникой на рынке», а «масштабным провалом дизайна оракула». Причина, по которой рыночная операция на 60 миллионов долларов привела к убыткам на 19.3 миллиардов долларов, — в том, что система ценовых фидов не смогла отличить «манипуляцию» от «легитимного формирования цены».

Но это не новая проблема — в феврале 2020 года был уничтожен bZx, в октябре 2020 — Harvest, в ноябре 2020 — Compound, в октябре 2022 — Mango Markets. Всё это — один и тот же тип сбоя.

За пять лет индустрия усвоила один и тот же урок пять раз, и каждый раз цена становилась всё выше:

• 2020: отдельные протоколы учли уроки и внедрили исправления;
• 2022: вмешались регуляторы и начали правоприменение;
• 2025: весь рынок заплатил «учебный взнос» в 19.3 миллиардов долларов.

Теперь единственный вопрос: запомним ли мы наконец этот урок?

Все платформы, работающие с плечевыми позициями, должны честно ответить на следующие вопросы:

• Может ли наш оракул противостоять атакам, выявленным в 2020-2022 годах?
• Сможет ли наша инфраструктура выдержать уже случавшиеся сценарии цепных ликвидаций?
• Достигли ли мы разумного баланса между «чувствительностью» и «стабильностью»?
• Не повторяем ли мы ошибки, которые уже стоили индустрии сотни миллионов долларов?

Пятилетняя история доказала: манипуляции оракулом — это не «гипотетический риск» или «крайний случай», а «задокументированная, воспроизводимая и прибыльная» стратегия атаки, масштаб которой растёт вместе с рынком.

События октября 2025 года показали, к каким катастрофам приводит игнорирование этих уроков на институциональном уровне. Эта атака не была ни сложной, ни новой — это был тот же сценарий, реализованный в «окне известной уязвимости» против более крупной системы.

Оракул — это краеугольный камень всей системы. Если он треснет, всё остальное рухнет. С февраля 2020 года мы это поняли и уже потратили на подтверждение этого миллиарды долларов. Теперь единственный вопрос — будет ли катастрофа октября 2025 года достаточным стимулом, чтобы наконец превратить известные уроки в действия.

В современном высокосвязанном рынке дизайн оракула — это не просто «ценовой фид», а вопрос стабильности всей системы. Одна ошибка в дизайне — и 60 миллионов долларов могут уничтожить 19 миллиардов долларов стоимости.

Если мы продолжаем повторять ошибки, проблема не в том, что мы не учимся на истории — мы просто делаем цену этих ошибок всё выше.

Данный анализ основан на открытых рыночных данных, заявлениях платформ и кейс-стади атак на оракулы за последние пять лет.