黑天鹅重演：预言机漏洞的五年轮回

一场 6000 万美元的市场抛售导致 193 亿美元市值蒸发。

撰文：YQ

编译整理：Saoirse，Foresight News

（原文内容有所调整和删减）

2025 年 10 月 10 日至 11 日，一场 6000 万美元的市场抛售导致 193 亿美元市值蒸发。这并非源于市场崩盘，也不是由于合法受损头寸引发的连环追加保证金通知，而是因为预言机故障。

这并非新鲜事。自 2020 年 2 月以来，同样的攻击模式已被成功利用，在数十起事件中给该行业造成了数亿美元的损失。2025 年 10 月的这次攻击，其规模是以往最大预言机攻击的 160 倍 —— 这并非因为技术更为复杂，而是由于基础系统在扩大规模的同时，保留了相同的根本性漏洞。

五年的惨痛教训，却被忽视了。本分析将探讨其中的原因。

2020-2022：预言机攻击的「固定剧本」

在剖析 2025 年 10 月的事件前，必须明确一点：类似的情况早有先例。

2020 年 2 月：bZx 事件（损失 35 万美元 + 63 万美元）

采用单一来源预言机，攻击者通过闪电贷操纵 Uniswap 平台上 WBTC 的价格，转移了该代币总供应量 14.6% 的资金，以此操纵 bZx 平台完全依赖的价格馈送数据。

2020 年 10 月：Harvest Finance 事件（2400 万美元被盗，引发 5.7 亿美元挤兑）

仅用 7 分钟，攻击者通过 5000 万美元闪电贷操纵 Curve 平台稳定币价格，不仅导致资金被盗，更引发基础设施崩溃与流动性撤离，其影响规模远超初始盗窃金额。

2020 年 11 月：Compound 事件（8900 万美元资产被清算）

DAI 稳定币在 Coinbase Pro 平台上飙升至 1.30 美元，而其他平台均未出现这一情况。由于 Compound 的预言机以 Coinbase 为定价基准，用户因这一平台仅 1 小时内的异常价格被强制清算。当时仅需 10 万美元，就能操纵深度为 30 万美元的订单簿。

2022 年 10 月：Mango Markets 事件（损失 1.17 亿美元）

攻击者以 500 万美元初始资金，在多个平台将 MNGO 代币价格拉高 2394%，随后以被高估的抵押品借入 1.17 亿美元，并利用被盗的治理代币为自己投票，骗取 4700 万美元「漏洞赏金」。这是美国商品期货交易委员会（CFTC）首次针对预言机操纵行为采取执法行动。

所有攻击均遵循同一套流程：

1. 识别预言机对「可操纵数据源」的依赖；
2. 计算验证：操纵成本＜可提取价值；
3. 执行操纵；
4. 获利离场。

2020-2022 年间，41 起预言机操纵攻击共导致 4.032 亿美元资金被盗。而行业的应对却分散、迟缓且不彻底 —— 大多数平台仍在使用以现货价格为主、冗余度不足的预言机。

随后，2025 年 10 月的灾难降临了。

「10.11」漏洞剖析

2025 年 10 月 10 日凌晨 5 点 43 分，6000 万美元 USDe 集中抛售触发致命连锁反应：

6000 万美元现货抛售→预言机调低抵押品（wBETH、BNSOL、USDe）估值→大规模强制清算→基础设施过载→流动性真空→193 亿美元市值蒸发

这并非单一平台的失败，而是暴露了全行业长期存在的漏洞 —— 即便五年来付出了高昂代价，这些漏洞仍未被修复：

1、过度依赖现货价格

尽管 2020 年以来的每起重大攻击都利用了「现货价格可操纵」这一漏洞，但大多数平台仍在使用以现货为主的预言机设计。行业明知现货价格存在操纵风险，也明知「时间加权平均价格（TWAP）」和「多源预言机」能提供更好保护，却始终未能彻底落地这些方案。

根源在于：「速度与敏感性」在成为漏洞前，都被视为优势。实时价格更新看似更精准 —— 直到有人对其动手脚。

2、集中化风险

主导性交易平台会造成「单点故障」：bZx 依赖 Uniswap、Compound 依赖 Coinbase、2025 年 1、2025 年 10 月的平台依赖自身订单簿，本质上都是同一问题 —— 平台在变，但漏洞始终存在。

当某一交易所占据交易量主导地位时，将其作为预言机主要数据源看似合理。但价格馈送中的集中化风险，与所有系统中的集中化风险一致：在被利用前，一切看似正常。

3、基础设施假设偏差

为「正常市场」设计的系统，在压力下会遭遇灾难性失败。Harvest Finance 在 2020 年已证明这一点，但 2025 年 10 月的事件表明，行业仍在「按正常情况设计系统，并寄望于压力事件永不发生」。

而「寄望」绝非应对策略。

4、透明度悖论

公布技术改进方案，反而会制造攻击窗口。预言机算法更新「公布后 8 天实施」的间隔，给了专业攻击者明确的路线图与时间表 —— 他们精准知道何时发动攻击、该利用哪个漏洞。

这是「老问题的新失效模式」：以往攻击利用「已存在的漏洞」，而 2025 年 10 月的攻击利用的是「预言机算法切换的过渡期」—— 这个漏洞的存在，仅仅因为改进方案被提前公布。

破局之道

即时改进措施

1、混合预言机设计

整合多个价格来源，并加入切实有效的合理性校验：

• 中心化交易所（CEX）价格（跨平台交易量加权，占比 40%）；
• 去中心化交易所（DEX）价格（仅选取高流动性资金池，占比 30%）；
• 链上储备证明（占比 20%）；
• 封装资产的转换比率（占比 10%）。

关键在于「数据源独立性」：若用合理成本就能同时操纵所有数据源，那么「多源」本质上仍是「单源」。

2、动态权重调整

根据市场状况调整预言机敏感性：

• 正常波动期：使用标准权重；
• 高波动期：延长时间加权平均价格（TWAP）计算窗口，降低现货价格影响；
• 极端波动期：触发熔断机制，启动合理性校验。

2020 年 Compound 事件已证明：有时某一交易所的「正确价格」，对整个市场而言却是错误的。预言机需要具备识别这种偏差的智能。

3、熔断机制

在极端价格波动时暂停清算 —— 目的不是阻止「合理去杠杆」，而是区分「操纵行为」与「市场真实情况」：

• 若多平台价格在数分钟内趋同：大概率为真实市场波动；
• 若价格仅在单一平台异常：大概率为操纵；
• 若基础设施过载：暂停清算，直至容量恢复。

核心目标不是「禁止所有清算」，而是「避免因操纵价格引发的连锁清算」。

4、基础设施扩容

按「正常容量 100 倍」设计系统 —— 因为连锁反应会产生指数级负载：

• 为价格馈送搭建独立基础设施；
• 部署独立清算引擎；
• 对单个地址设置请求速率限制；
• 制定「平稳降级」协议（负载过高时优先保障核心功能）。

若系统无法承受连锁反应的负载，反而会加剧灾难。这是设计刚需，而非优化选项。

长期解决方案

1、去中心化预言机网络

采用成熟的预言机方案（如 Chainlink、Pyth、UMA），这类方案通过跨数据源聚合实现内置抗操纵能力。它们并非完美，但远优于「每 18 个月就被攻击一次」的现货依赖型预言机。

bZx 在 2020 年攻击后接入 Chainlink，此后便未再遭遇预言机操纵攻击 —— 这绝非巧合。

2、储备证明整合

对封装资产和稳定币，需在链上验证抵押品价值。例如 USDe 的定价，应基于「可验证的储备金」，而非「订单簿动态」。相关技术已存在，滞后的只是落地进度。

3、渐进式清算

通过分阶段清算避免连锁反应扩大：

• 第一阈值：发出预警，给予用户追加抵押品的时间；
• 第二阈值：部分清算（25%）；
• 第三阈值：较大规模清算（50%）；
• 最终阈值：完全清算。

这既能给用户应对时间，也能降低「大规模同步清算」对系统的冲击。

4、实时审计监控

对预言机操纵行为进行实时监控：

• 跨平台价格偏差；
• 低流动性交易对的异常交易量；
• 预言机更新前头寸规模的快速增长；
• 与已知攻击特征的模式匹配。

2025 年 10 月的攻击本应出现预警信号：凌晨 5 点 43 分抛售 6000 万美元 USDe，这类异常交易必须触发警报。若监控系统未能捕捉，说明其存在严重不足。

结论：190 亿美元的警示

2025 年 10 月 10-11 日的连锁清算，并非由「过度杠杆」或「市场恐慌」引发，而是「规模化的预言机设计失败」。6000 万美元的市场操作之所以演变成 193 亿美元损失，核心在于价格馈送系统无法区分「操纵行为」与「合法价格发现」。

但这并非新问题 ——2020 年 2 月摧毁 bZx、2020 年 10 月摧毁 Harvest、2020 年 11 月摧毁 Compound、2022 年 10 月摧毁 Mango Markets 的，都是同一类故障。

五年来，行业五次吸取同一教训，代价却一次比一次高昂：

• 2020 年：个别协议吸取教训，实施修复；
• 2022 年：监管机构介入，启动执法；
• 2025 年：整个市场付出 193 亿美元「学费」。

现在唯一的问题是：我们是否终于会记住这个教训？

所有处理杠杆头寸的平台，都必须直面以下问题：

• 我们的预言机能否抵御 2020-2022 年已明确的攻击向量？
• 我们的基础设施能否应对已发生过的连锁清算场景？
• 我们是否在「敏感性」与「稳定性」之间实现了合理平衡？
• 我们是否在重蹈那些曾导致行业损失数亿美元的覆辙？

五年的历史已证明：预言机操纵绝非「假设性风险」或「边缘案例」，而是一种「有记录、可重复、高获利」的攻击策略，其规模会随市场增长同步扩大。

2025 年 10 月的事件表明，当这些教训在机构级规模被忽视时，会引发何等灾难。这次攻击既不复杂，也不新颖 —— 只是同一套操作手法，在「已知漏洞窗口期」，针对更大规模的系统实施而已。

预言机是整个系统的基石。基石破裂，其上一切都会崩塌。自 2020 年 2 月起，我们就明白这一点，也已

花费了数十亿美元反复印证这一道理。现在唯一的问题是，2025 年 10 月这场代价惨重的事件，是否足以让我们最终将已知的教训转化为行动。

在如今高度互联的市场中，预言机设计绝非「数据馈送」那么简单 —— 它关乎整个系统的稳定性。设计一旦出错，6000 万美元就能摧毁 190 亿美元的价值。

若仍反复犯错，并非是我们未能从历史中学习，只是让重复错误的代价变得越来越高昂。

本分析基于公开市场数据、平台声明及五年间的预言机操纵案例研究。