Чорний лебідь повторюється: п’ятирічний цикл вразливостей оракулів

Розпродаж на суму 60 мільйонів доларів призвів до випаровування ринкової капіталізації у 19.3 мільярдів доларів.

Автор: YQ

Переклад і адаптація: Saoirse, Foresight News

(Оригінальний зміст було скориговано та скорочено)

З 10 по 11 жовтня 2025 року розпродаж на суму 60 мільйонів доларів призвів до випаровування ринкової капіталізації у 19.3 мільярдів доларів. Це не було спричинено обвалом ринку чи ланцюговими маржин-колами через легітимні збиткові позиції, а сталося через збій оракула.

Це не новина. З лютого 2020 року той самий шаблон атаки вже неодноразово використовувався, завдаючи галузі сотні мільйонів доларів збитків у десятках інцидентів. Атака жовтня 2025 року була у 160 разів масштабнішою за найбільшу попередню атаку на оракул — і не через складнішу техніку, а тому що базова система, розширюючись, зберегла ті самі фундаментальні вразливості.

П’ять років болючих уроків були проігноровані. У цьому аналізі розглядаються причини цього.

2020-2022: «Фіксований сценарій» атак на оракули

Перед аналізом подій жовтня 2025 року слід чітко зазначити: подібні ситуації вже траплялися раніше.

Лютий 2020: інцидент bZx (втрати 350 тисяч доларів + 630 тисяч доларів)

Використовуючи оракул з єдиним джерелом, зловмисник за допомогою флеш-кредиту маніпулював ціною WBTC на платформі Uniswap, перевівши 14.6% від загальної пропозиції токена, і таким чином маніпулював даними про ціни, на які повністю покладався bZx.

Жовтень 2020: інцидент Harvest Finance (викрадено 24 мільйони доларів, спричинено відтік у 570 мільйонів доларів)

Лише за 7 хвилин зловмисник за допомогою флеш-кредиту на 50 мільйонів доларів маніпулював цінами стейблкоїнів на платформі Curve, що призвело не лише до крадіжки коштів, а й до краху інфраструктури та відтоку ліквідності, масштаб якого значно перевищив початкову суму викраденого.

Листопад 2020: інцидент Compound (ліквідовано активів на 89 мільйонів доларів)

Стейблкоїн DAI на платформі Coinbase Pro підскочив до 1.30 долара, тоді як на інших платформах цього не сталося. Оскільки оракул Compound використовував Coinbase як ціновий орієнтир, користувачі були примусово ліквідовані через аномальні ціни на цій платформі лише за одну годину. Тоді для маніпуляції ордербуком з глибиною 300 тисяч доларів було достатньо лише 100 тисяч доларів.

Жовтень 2022: інцидент Mango Markets (втрати 117 мільйонів доларів)

Зловмисник, маючи 5 мільйонів доларів початкового капіталу, підняв ціну токена MNGO на кількох платформах на 2394%, після чого, використовуючи переоцінений заставний актив, позичив 117 мільйонів доларів і, використовуючи викрадені токени управління, проголосував за себе, отримавши 47 мільйонів доларів як «баунті за вразливість». Це був перший випадок, коли CFTC США вжила заходів щодо маніпуляцій оракулом.

Усі атаки дотримувалися одного й того ж алгоритму:

1. Виявлення залежності оракула від «маніпульованого джерела даних»;
2. Перевірка розрахунків: вартість маніпуляції < витягнутої вигоди;
3. Виконання маніпуляції;
4. Виведення прибутку.

У 2020-2022 роках 41 атака на оракули призвела до крадіжки 403.2 мільйона доларів. Реакція індустрії була розпорошеною, повільною та неповною — більшість платформ досі використовують оракули, що базуються на спотових цінах і мають недостатню надмірність.

Потім настала катастрофа жовтня 2025 року.

Аналіз вразливості «10.11»

О 5:43 ранку 10 жовтня 2025 року масовий розпродаж USDe на 60 мільйонів доларів запустив фатальний ланцюговий ефект:

60 мільйонів доларів спотового розпродажу → оракул знижує оцінку застави (wBETH, BNSOL, USDe) → масова примусова ліквідація → перевантаження інфраструктури → вакуум ліквідності → випаровування ринкової капіталізації у 19.3 мільярдів доларів

Це не був провал однієї платформи, а виявлення багаторічної вразливості всієї індустрії — навіть після п’яти років дорогих уроків ці вразливості так і не були усунені:

1. Надмірна залежність від спотових цін

Попри те, що кожна велика атака з 2020 року використовувала вразливість «маніпуляції спотовою ціною», більшість платформ досі використовують оракули, орієнтовані на спотові ціни. Індустрія знає про ризики маніпуляції спотовими цінами, знає, що TWAP і мультиджерельні оракули забезпечують кращий захист, але ці рішення так і не були повністю впроваджені.

Корінь проблеми: «швидкість і чутливість» до того, як стати вразливістю, вважалися перевагою. Оновлення цін у реальному часі здається точнішим — поки хтось не почне цим маніпулювати.

2. Ризик централізації

Домінуючі торгові платформи створюють «єдину точку відмови»: bZx залежав від Uniswap, Compound — від Coinbase, платформи січня та жовтня 2025 року — від власного ордербуку, по суті це одна й та сама проблема — платформи змінюються, а вразливість залишається.

Коли якась біржа домінує за обсягами торгів, використання її як основного джерела даних для оракула здається логічним. Але ризик централізації у ціновій передачі такий самий, як і в будь-якій централізованій системі: до моменту використання все здається нормальним.

3. Відхилення у припущеннях щодо інфраструктури

Системи, спроєктовані для «нормального ринку», зазнають катастрофічних невдач під час стресу. Harvest Finance ще у 2020 році це довів, але події жовтня 2025 року показали, що індустрія досі «проєктує системи для нормальних умов і сподівається, що стресові події не трапляться».

Але «сподівання» — це не стратегія реагування.

4. Парадокс прозорості

Оприлюднення технічних удосконалень створює вікно для атаки. Період між оголошенням і впровадженням оновлення алгоритму оракула (8 днів) дав професійним зловмисникам чітку дорожню карту і графік — вони точно знали, коли і який вразливістю скористатися.

Це «нова форма старої проблеми»: раніше атаки використовували «існуючі вразливості», а у жовтні 2025 року було використано «перехідний період зміни алгоритму оракула» — ця вразливість виникла лише тому, що план удосконалення був оприлюднений заздалегідь.

Шляхи вирішення

Негайні заходи для покращення

1. Гібридний дизайн оракула

Інтеграція кількох джерел цін з ефективною перевіркою розумності:

• Ціни централізованих бірж (CEX) (зважені за обсягом торгів на різних платформах, 40%);
• Ціни децентралізованих бірж (DEX) (лише пули з високою ліквідністю, 30%);
• Доказ резервів на блокчейні (20%);
• Коефіцієнти конвертації обгорнутих активів (10%).

Ключ — «незалежність джерел даних»: якщо всі джерела можна маніпулювати за розумну ціну, то «мультиджерело» по суті залишається «одним джерелом».

2. Динамічне коригування ваг

Коригування чутливості оракула залежно від ринкової ситуації:

• У період нормальної волатильності: стандартні ваги;
• У період високої волатильності: подовження вікна TWAP, зменшення впливу спотових цін;
• У період екстремальної волатильності: активація механізму аварійного відключення, запуск перевірки розумності.

Інцидент Compound 2020 року вже довів: іноді «правильна ціна» на одній біржі є неправильною для всього ринку. Оракул має вміти розпізнавати такі відхилення.

3. Механізм аварійного відключення

Призупинення ліквідацій під час екстремальних цінових коливань — мета не зупинити «розумне зниження плеча», а відрізнити «маніпуляцію» від «реальної ринкової ситуації»:

• Якщо ціни на кількох платформах вирівнюються за кілька хвилин: ймовірно, це реальна ринкова волатильність;
• Якщо аномалія лише на одній платформі: ймовірно, це маніпуляція;
• Якщо інфраструктура перевантажена: призупинити ліквідації до відновлення потужності.

Головна мета — не «заборонити всі ліквідації», а «уникнути ланцюгових ліквідацій через маніпуляцію цінами».

4. Масштабування інфраструктури

Проєктувати системи з розрахунку на «100-кратну нормальну потужність» — бо ланцюгові реакції створюють експоненційне навантаження:

• Створити окрему інфраструктуру для цінових фідів;
• Розгорнути окремий двигун ліквідації;
• Встановити обмеження швидкості запитів для окремих адрес;
• Розробити протокол «плавного зниження» (пріоритет основних функцій при перевантаженні).

Якщо система не витримує навантаження ланцюгової реакції, це лише погіршує катастрофу. Це необхідність дизайну, а не опція оптимізації.

Довгострокові рішення

1. Децентралізована мережа оракулів

Використання зрілих рішень для оракулів (наприклад, Chainlink, Pyth, UMA), які забезпечують вбудований захист від маніпуляцій шляхом агрегації даних з різних джерел. Вони не ідеальні, але набагато кращі за оракули, що залежать від спотових цін і «атакуються кожні 18 місяців».

bZx після атаки 2020 року інтегрував Chainlink і більше не зазнавав атак на оракул — це не випадковість.

2. Інтеграція доказу резервів

Для обгорнутих активів і стейблкоїнів слід перевіряти вартість застави на блокчейні. Наприклад, ціна USDe має базуватися на «верифікованих резервах», а не на «динаміці ордербуку». Технологія вже існує, затримка — лише у впровадженні.

3. Поступова ліквідація

Поступова ліквідація для запобігання розширенню ланцюгової реакції:

• Перший поріг: попередження, час для користувача на додаткову заставу;
• Другий поріг: часткова ліквідація (25%);
• Третій поріг: більша ліквідація (50%);
• Остаточний поріг: повна ліквідація.

Це дає користувачам час на реакцію і зменшує удар «масової синхронної ліквідації» по системі.

4. Моніторинг у реальному часі

Моніторинг маніпуляцій оракулом у реальному часі:

• Відхилення цін між платформами;
• Аномальні обсяги торгів у парах з низькою ліквідністю;
• Швидке зростання розміру позицій перед оновленням оракула;
• Виявлення шаблонів, що відповідають відомим атакам.

Атака жовтня 2025 року мала б викликати тривогу: о 5:43 ранку розпродаж USDe на 60 мільйонів доларів — така аномальна операція повинна була спрацювати як сигнал тривоги. Якщо моніторинг цього не виявив, значить він має серйозні недоліки.

Висновок: попередження на 19 мільярдів доларів

Ланцюгові ліквідації 10-11 жовтня 2025 року були спричинені не «надмірним плечем» чи «панікою на ринку», а «масштабним провалом дизайну оракула». Те, що операція на 60 мільйонів доларів призвела до втрат у 19.3 мільярдів доларів, пояснюється тим, що система цінових фідів не змогла відрізнити «маніпуляцію» від «легітимного цінового відкриття».

Але це не нова проблема — у лютому 2020 року було знищено bZx, у жовтні 2020 — Harvest, у листопаді 2020 — Compound, у жовтні 2022 — Mango Markets — все це однакові збої.

За п’ять років індустрія п’ять разів вчилася на одному й тому ж уроці, і кожного разу ціна була вищою:

• 2020: окремі протоколи вчаться і впроваджують виправлення;
• 2022: регулятори втручаються і починають правозастосування;
• 2025: весь ринок платить «навчальний внесок» у 19.3 мільярдів доларів.

Єдине питання зараз: чи нарешті ми запам’ятаємо цей урок?

Усі платформи, що працюють з плечовими позиціями, мають чесно відповісти на такі питання:

• Чи здатен наш оракул протистояти атакам, які були чітко визначені у 2020-2022 роках?
• Чи витримає наша інфраструктура сценарії ланцюгових ліквідацій, які вже траплялися?
• Чи досягли ми розумного балансу між «чутливістю» та «стабільністю»?
• Чи не повторюємо ми помилки, які вже коштували індустрії сотні мільйонів доларів?

П’ятирічна історія довела: маніпуляції оракулом — це не «гіпотетичний ризик» чи «крайній випадок», а «задокументована, повторювана, високоприбуткова» стратегія атаки, масштаб якої зростає разом із ринком.

Події жовтня 2025 року показали, до яких катастроф призводить ігнорування цих уроків на інституційному рівні. Ця атака не була складною чи новою — це та сама схема, використана у «вікно відомої вразливості», але проти масштабнішої системи.

Оракул — це наріжний камінь всієї системи. Якщо він тріскає — все руйнується. З лютого 2020 року ми це розуміємо і вже витратили мільярди доларів, щоб знову і знову це підтвердити. Єдине питання — чи стане катастрофа жовтня 2025 року достатньо болючою, щоб ми нарешті перетворили відомі уроки на дії.

У сучасному високоінтегрованому ринку дизайн оракула — це не просто «передача даних» — це питання стабільності всієї системи. Одна помилка у дизайні — і 60 мільйонів доларів можуть знищити 19 мільярдів доларів вартості.

Якщо ми й далі повторюємо помилки, це не тому, що ми не вчимося з історії, а тому, що ціна повторення помилок стає дедалі вищою.

Цей аналіз базується на відкритих ринкових даних, заявах платформ і дослідженнях атак на оракули за останні п’ять років.