Como o Design do Price Feed transformou 60 milhões de dólares em uma catástrofe de 19 bilhões de dólares

Nos dias 10 e 11 de outubro de 2025, uma venda massiva de US$ 60 milhões no mercado resultou na destruição de US$ 19,3 bilhões em valor. Não foi colapso de mercado. Não foi efeito cascata de chamadas de margem sobre posições genuinamente deterioradas. Tratou-se de uma falha de oráculo.

Esse tipo de ataque não é novidade. Desde fevereiro de 2020, o mesmo padrão já foi explorado diversas vezes, gerando centenas de milhões em prejuízo ao setor em dezenas de ocasiões. Outubro de 2025 amplificou o maior ataque anterior a oráculos em 160 vezes — não por avanço técnico, mas porque o sistema cresceu sem corrigir vulnerabilidades estruturais.

Foram cinco anos de aprendizados custosos, ignorados. Esta análise detalha os motivos.

Dilema do Oráculo: Sensibilidade versus Estabilidade

Todo protocolo alavancado enfrenta um desafio central: como precificar o colateral de modo preciso, sem deixar brecha para manipulação?

Muita sensibilidade → vulnerável a manipulação Muita estabilidade → ignora perdas reais

Em outubro de 2025, prevaleceu a sensibilidade. O oráculo seguiu os preços à vista fielmente enquanto US$ 60 milhões eram vendidos massivamente, rebaixando o colateral em tempo real e disparando liquidações em massa. O sistema operou exatamente como planejado.

O projeto apresentava falhas profundas.

O Padrão dos Últimos Cinco Anos

Antes de analisar outubro de 2025, é preciso entender: já enfrentamos isso antes.

Modelo Inicial (2020-2022)

Fevereiro/2020: bZx (US$ 350 mil + US$ 630 mil) Oráculo de fonte única. Manipulação via flash loan do WBTC na Uniswap. 14,6% do supply movimentado para alterar o feed exclusivo da bZx.

Outubro/2020: Harvest Finance (US$ 24 milhões roubados, US$ 570 milhões em saque em massa) Sete minutos. US$ 50 milhões em flash loan. Manipulação de preços de stablecoins na Curve. Colapso de infraestrutura e retirada de liquidez muito superior ao roubo inicial.

Novembro/2020: Compound (US$ 89 milhões liquidados) DAI disparou para US$ 1,30 na Coinbase Pro — em nenhuma outra. O oráculo do Compound usava apenas a Coinbase. Usuários liquidados por preços vigentes numa única exchange por uma hora. Bastaram US$ 100 mil para manipular um livro de ofertas de US$ 300 mil.

Outubro/2022: Mango Markets (US$ 117 milhões) US$ 5 milhões iniciais. Pump do MNGO em 2.394% em múltiplos mercados. Empréstimo de US$ 117 milhões sobre colateral inflado. Uso de tokens de governança roubados para votar um “bug bounty” de US$ 47 milhões. Primeira atuação da CFTC contra manipulação de oráculo.

O Fio Condutor

Todos os ataques seguiram o mesmo roteiro:

1. Identificar dependência do oráculo em fonte manipulável
2. Calcular: Custo da manipulação < valor extraível
3. Executar
4. Lucrar

De 2020 a 2022: US$ 403,2 milhões roubados em 41 ataques contra oráculos.

Resposta do setor: Fragmentada, lenta e insuficiente. A maioria das plataformas continuou dependente de oráculos de spot sem redundância efetiva.

Então veio outubro de 2025.

Anatomia da Falha de Oráculo: Edição 2025

10 de outubro de 2025, 05:43: US$ 60 milhões em USDe vendidos massivamente nos mercados à vista.

Num oráculo bem projetado: impacto mínimo, absorvido por fontes independentes.

Neste oráculo: desastre.

Venda massiva de US$ 60 milhões → Oráculo rebaixa colateral (wBETH, BNSOL, USDe) →

Liquidações em massa → Sobrecarga de infraestrutura → Vácuo de liquidez → US$ 19,3 bilhões destruídos

O Fator de Amplificação

• Mango Markets (2022): US$ 5 milhões manipulados → US$ 117 milhões extraídos (23x)
• Outubro de 2025: US$ 60 milhões manipulados → US$ 19,3 bilhões destruídos (322x)

Não por sofisticação. Porque a vulnerabilidade persistiu em escala institucional.

O Problema da Distribuição de Peso

O oráculo dependia fortemente dos preços à vista do principal mercado. Quando um local domina o volume:

• O alto volume sugere descoberta de preço (parece lógico)
• Mas a concentração facilita manipulação (é fatal)
• Usar apenas preços internos cria ciclo autorreferencial (agrava o problema)

Um analista resumiu o erro: “já que [a exchange] tem o maior volume de usde/bnsol/wbeth, mesmo com os pesos do oráculo, deveria usar o preço spot.”

Essa lógica — confiar no maior mercado — destruiu bilhões em cinco anos de ataques. Concentração não é garantia de precisão, mas sim de oportunidade de manipulação.

Janela de Vulnerabilidade Programada

Atualizações no oráculo foram anunciadas oito dias antes da implementação. O atacante tinha:

• Dependências conhecidas
• Timing previsível da transição
• Oito dias para se posicionar e preparar

Os ataques anteriores exploraram vulnerabilidades existentes. Outubro de 2025 explorou a transição entre metodologias — vulnerabilidade criada pela divulgação prévia.

O Teste de Isolamento de Mercado

A prova mais clara do erro foi falha de oráculo, não de ativo:

Exchange principal: USDe a US$ 0,6567, wBETH a US$ 430 Outras: menos de 30 pontos-base de diferença

Pools on-chain: impacto mínimo

Como Guy da Ethena destacou: “mais de US$ 9 bilhões em colateral de stablecoin disponíveis para resgate imediato” durante todo o evento.

Os preços variaram fortemente na exchange fonte do oráculo, mas ficaram estáveis nos outros mercados. O oráculo reportou o preço manipulado. A plataforma liquidou com base em preços inexistentes fora daquele local.

É o padrão Compound 2020: manipulação isolada, reportada fielmente, destrutiva em escala.

Cascata de Infraestrutura

O analista agintender identificou o mecanismo de amplificação:

“liquidação em cascata sobrecarregou o servidor com milhões de requisições. Market makers não conseguiam ofertar a tempo, gerando vácuo de liquidez”

O padrão Harvest Finance em escala. O ataque dispara liquidações mais rápido do que a infraestrutura suporta. Market makers não respondem. Liquidez some. A cascata se autoalimenta.

Após o colapso do Harvest em outubro de 2020 (TVL de US$ 1 bilhão para US$ 599 milhões), ficou óbvio: sistemas de oráculo precisam prever o estresse na infraestrutura.

Outubro de 2025 provou que não aprendemos.

Trade-off de Sensibilidade: Duas Abordagens, Um Desastre

Guy da Ethena resumiu o desafio: Oráculos devem distinguir ruído de mercado de perdas reais.

Outubro de 2025 mostrou duas respostas:

Alta Sensibilidade (Exchange que Falhou)

• Spot em tempo real
• Resposta rápida
• Resultado: cascata de US$ 19 bilhões

É o modelo bZx/Harvest: confie no mercado spot, seja destruído por manipulação.

Alta Estabilidade (Sobreviventes DeFi)

• USDe fixado em USDT
• Ignora deslocamentos temporários
• Resultado: sem liquidações

É uma supercorreção. Melhor que falha, mas ainda longe do ideal.

Apesar dos cinco anos de oportunidades para aprimoramento, o setor permaneceu com soluções extremas, sendo o resultado institucional insatisfatório.

Teorema do Ataque a Oráculos: Agora Validado Empiricamente

Teorema: Em sistemas alavancados onde:

1. Preços do oráculo dependem de mercados spot manipuláveis
2. Liquidações são determinísticas
3. Infraestrutura tem limites de capacidade

Então: Custo da manipulação < valor extraível nas cascatas

Prova por repetição:

• bZx (fev/2020): manipulação Uniswap → US$ 350 mil + US$ 630 mil extraídos
• Harvest (out/2020): manipulação Curve → US$ 24 milhões roubados + US$ 570 milhões em saque em massa
• Compound (nov/2020): manipulação Coinbase → US$ 89 milhões liquidados
• Mango (out/2022): manipulação multi-market → US$ 117 milhões extraídos
• Outubro/2025: manipulação no mercado principal → US$ 19,3 bilhões destruídos

Quanto maior o sistema, maior o dano. O custo da manipulação permanece quase estável (pela liquidez do mercado), mas o valor extraível cresce conforme a alavancagem.

Outubro de 2025 validou o teorema em escala inédita.

Princípios para Design de Oráculos: Lições Ignoradas

1. Validação por Múltiplas Fontes

Jamais dependa de preços de um único mercado, sobretudo do seu próprio livro de ofertas. Aprendizado da bZx em 2020. Design correto exige:

Preço do Oráculo = Média Ponderada de:

• Preços em múltiplas exchanges (40%)
• Pools on-chain (30%)
• Conversão de ativos wrapped (20%)
• Preços históricos ponderados por tempo (10%)

Os pesos são menos importantes que a independência. Se todas as fontes podem ser manipuladas com pouco capital, você não tem redundância.

1. Sensibilidade Adaptativa

Oráculos devem ajustar sensibilidade conforme o mercado:

• Mercado normal: mais sensível a preço
• Mercado volátil: mais estável via TWAP (preço médio ponderado por tempo)
• Movimentos extremos: mecanismos de interrupção (“circuit breakers”) e validação adicional

TWAPs (preço médio ponderado por tempo) foram adotados após os ataques de 2020 para evitar manipulação por transação única. Em outubro de 2025, os oráculos ignoraram isso e reagiram ao spot em tempo real.

1. Resiliência de Infraestrutura

Oráculos devem funcionar sob cascata:

• Infraestrutura separada para feeds
• Capacidade para milhões de requisições
• Degradação controlada sob carga

Após o colapso do Harvest em 2020, ficou claro: o sistema precisa suportar não só a primeira liquidação, mas a milésima, quando market makers não acompanham e usuários entram em pânico.

1. Transparência sem Vulnerabilidades

A janela de oito dias entre anúncio e implementação criou vetor de ataque. Melhores práticas:

• Implementar mudanças imediatamente
• Atualizações contínuas, sem data fixa
• Auditoria sem prévia pública

Teoria dos jogos: nunca anuncie mudanças exploráveis com antecedência. O atacante de outubro de 2025 teve oito dias para se preparar.

Visão Acadêmica: O Teorema do Ataque a Oráculos

Cinco anos de evidência empírica confirmam:

Teorema: Em sistemas alavancados onde:

1. Preços do oráculo dependem de mercados spot manipuláveis
2. Liquidações são determinísticas
3. Infraestrutura tem limites de capacidade

Então: Custo da manipulação < valor extraível via cascata

Validação repetida:

• bZx (fev/2020): US$ 10 milhões tomados, US$ 350 mil extraídos via Uniswap
• Harvest (out/2020): US$ 50 milhões em flash loan, US$ 24 milhões roubados + US$ 570 milhões em saque em massa
• Compound (nov/2020): US$ 100 mil para manipular o livro de ofertas, US$ 89 milhões liquidados
• Mango (out/2022): US$ 5 milhões iniciais, US$ 117 milhões extraídos
• Outubro/2025: US$ 60 milhões vendidos massivamente, US$ 19,3 bilhões destruídos

Quanto maior o sistema, maior o prejuízo. O custo da manipulação permanece estável, mas o valor extraível cresce com a alavancagem.

Outubro de 2025 comprovou o teorema em escala inédita.

Implicações Sistêmicas: Lições Ainda Não Aprendidas

Não foi só uma plataforma — revelou vulnerabilidades do setor que persistem após cinco anos de lições caras:

1. Dependência Excessiva de Preço Spot

A maioria das plataformas ainda depende de oráculos spot, apesar de todos os ataques desde 2020 explorarem essa fragilidade. O setor sabe dos riscos, conhece as alternativas (TWAP, multi-fonte), mas não implementa plenamente.

Motivo? Velocidade e sensibilidade parecem vantagens — até viram bugs. Atualização em tempo real só é útil até alguém manipular.

2. Risco de Concentração

Mercados dominantes criam pontos únicos de falha. Seja bZx/Uniswap, Compound/Coinbase ou a exchange de outubro de 2025, o problema persiste.

Confiar no maior volume parece lógico, mas risco de concentração em feeds é como em qualquer sistema: funciona até alguém explorar.

3. Suposições de Infraestrutura

Sistemas pensados para mercados normais falham sob estresse. Harvest Finance mostrou isso em 2020. Outubro de 2025 provou que seguimos apostando na sorte.

A confiança excessiva não deve substituir estratégias eficazes.

4. Paradoxo da Transparência

Anunciar melhorias cria janelas de ataque. O intervalo de oito dias entre anúncio e implementação deu roteiro e cronograma ao atacante.

Falha nova para problema antigo. Antes, exploravam vulnerabilidades existentes. Em outubro de 2025, exploraram a transição entre metodologias.

Próximos Passos: Aprender de Verdade

Melhorias Imediatas

1. Oráculo HíbridoCombine múltiplas fontes de preço e checagens de sanidade eficazes:

• Preços de CEX (corretoras centralizadas) (ponderação por volume)
• Preços de DEX (corretoras descentralizadas) (apenas pools de alta liquidez)
• Prova de reservas on-chain
• Limites de desvio entre exchanges

Cada fonte precisa ser independente. Se manipular uma afeta outra, não há redundância.

2. Ponderação DinâmicaAjuste a sensibilidade conforme o mercado:

• Volatilidade normal: pesos padrão
• Alta volatilidade: amplie janela TWAP (preço médio ponderado por tempo), reduza influência do spot
• Movimentos extremos: pause liquidações, investigue antes de prosseguir

O ataque à Compound mostrou que o “preço correto” numa exchange pode estar errado para o mercado inteiro. O oráculo precisa detectar isso.

3. Mecanismos de Interrupção (“circuit breakers”)Suspender liquidações em movimentos extremos — não para evitar desalavancagem legítima, mas para distinguir manipulação de realidade:

• Se preços convergirem em minutos: provavelmente real
• Se permanecerem isolados: provavelmente manipulação
• Se infraestrutura sobrecarregada: pausar até normalizar

O objetivo não é evitar todas as liquidações, mas sim as cascatas de preços manipulados.

4. Escalonamento da InfraestruturaProjete para 100x a capacidade normal, pois cascatas geram esse volume:

• Infraestrutura separada para feeds de preço
• Engines de liquidação independentes
• Limitação de taxa (“rate limiting”) por endereço
• Protocolos de degradação controlada

Se o sistema não sustentar a carga, ele amplifica o problema. Isso é requisito fundamental, não apenas uma otimização.

Soluções de Longo Prazo

1. Redes de Oráculos DescentralizadasAdote soluções robustas como Chainlink, Pyth ou UMA, que agregam fontes e resistem à manipulação. Não são perfeitas, mas são superiores aos oráculos spot. A bZx integrou Chainlink após 2020 e parou de sofrer ataques. Não é coincidência.

2. Prova de ReservasPara ativos wrapped e stablecoins, valide o colateral on-chain. USDe precisa ser precificado por reservas verificáveis, não pelo livro de ofertas. A tecnologia existe; falta implementação.

3. Liquidações GradativasEvite cascatas via liquidação em etapas:

• Primeiro limiar: aviso e tempo para aportar colateral
• Segundo limiar: liquidação parcial (25%)
• Terceiro limiar: liquidação maior (50%)
• Final: liquidação total
  Isso dá tempo para usuários reagirem, reduzindo o choque sistêmico.

4. Auditoria em Tempo RealMonitore tentativas de manipulação:

• Desvios de preço entre exchanges
• Volume incomum em pares ilíquidos
• Aumento rápido de posições antes de atualização
• Identificação de padrões de ataque conhecidos

O ataque de outubro de 2025 certamente deu sinais. Vender massivamente US$ 60 milhões às 05:43 deveria gerar alertas. Se não houve detecção, o monitoramento é insuficiente.

Conclusão: O Lembrete dos US$ 19 Bilhões

A cascata de liquidações de outubro não foi causada por alavancagem excessiva ou pânico de mercado — foi falha de design do oráculo em larga escala. Uma ação de US$ 60 milhões virou US$ 19 bilhões em perdas porque o price feed não diferenciou manipulação de descoberta legítima de preço.

Essa falha não é nova. Já destruiu a bZx em 2020, Harvest em 2020, Compound em 2020 e Mango em 2022.

O setor já recebeu essa lição cinco vezes, cada vez mais cara:

• 2020: Protocolos corrigiram
• 2022: Reguladores fiscalizaram
• 2025: O mercado inteiro pagou US$ 19,3 bilhões de “mensalidade”

A questão agora é: vamos finalmente aprender?

Todo protocolo alavancado precisa se perguntar:

• Nosso oráculo resiste aos vetores de ataque de 2020-2022?
• Nossa infraestrutura suporta cascatas já vistas?
• O equilíbrio entre sensibilidade e estabilidade está correto?
• Estamos repetindo erros que já custaram centenas de milhões?

Como a história mostra, manipulação de oráculo não é hipótese — é prática recorrente, lucrativa e proporcional ao tamanho do mercado.

Outubro de 2025 mostrou o que acontece quando as lições são ignoradas em escala institucional. Não foi ataque sofisticado ou novo. Foi o mesmo roteiro em sistema maior e janela de vulnerabilidade conhecida.

O oráculo é a base. Se ele falha, tudo desmorona. Sabemos disso desde 2020. Pagamos bilhões para aprender, repetidas vezes. Será que outubro de 2025 foi caro o suficiente para, desta vez, agirmos?

No mercado moderno, design de oráculo é questão de estabilidade sistêmica. Se errar, US$ 60 milhões podem virar US$ 19 bilhões em perdas.

Se errar novamente, não é aprendizado — é repetir a história, cada vez mais caro.

Análise baseada em dados públicos, comunicados de plataformas e cinco anos de estudos sobre manipulação de oráculos. As opiniões aqui são pessoais, não representam nenhuma entidade.

Nota Legal:

1. Este artigo foi republicado de [yq_acc]. Todos os direitos pertencem ao autor original [yq_acc]. Se houver objeção à republicação, entre em contato com a equipe Gate Learn, que fará o atendimento imediatamente.
2. Isenção de responsabilidade: As opiniões expressas neste artigo são do autor e não constituem aconselhamento de investimento.
3. Traduções em outros idiomas são feitas pela equipe Gate Learn. Salvo indicação, é proibido copiar, distribuir ou plagiar as versões traduzidas.