Как архитектура Price Feed обернулась катастрофой: $60 миллионов превратились в $19 миллиардов ущерба

10–11 октября 2025 г. сброс на рынке на сумму $60 млн привёл к потере $19,3 млрд стоимости. Причина — не крах рынка и не каскадные маржинальные требования по реальным проблемным позициям, а сбой оракула.

Это не новый сценарий. Тот же паттерн атак успешно реализуется с февраля 2020 г., суммарно стоил индустрии сотни миллионов долларов в десятках инцидентов. Октябрь 2025 г. стал усилением предыдущей крупнейшей атаки на оракулы в 160 раз — не из-за технической сложности, а из-за масштабирования системы при сохранении её ключевых уязвимостей.

Пять лет дорогостоящих уроков проигнорированы. В этом анализе объясняется, почему.

Дилемма оракула: чувствительность или стабильность

Любая платформа с кредитным плечом сталкивается с фундаментальной задачей: как корректно оценивать залог, исключая возможность манипуляции?

Слишком высокая чувствительность → атаки манипуляции Слишком высокая стабильность → пропуск реальных потерь

В октябре 2025 г. была выбрана чувствительность. Оракул в реальном времени отслеживал спотовые цены, когда $60 млн выводились на рынок, сразу снижая стоимость залога и провоцируя массовые ликвидации. Система сработала как задумано.

Но сама конструкция оказалась фатально ошибочной.

Пятилетний паттерн, который остался без внимания

Прежде чем анализировать октябрь 2025 г., важно понять: эта ситуация уже случалась.

Сценарий (2020–2022)

Февраль 2020 г.: bZx ($350 тыс. + $630 тыс.) Оракул с единственным источником. Манипуляция ценой WBTC на Uniswap через flash-loan. Перемещено 14,6% общего объёма токена для влияния на ценовой фид, который bZx использовал исключительно.

Октябрь 2020 г.: Harvest Finance ($24 млн украдено, $570 млн бегство ликвидности) Семь минут. Flash-loan на $50 млн. Манипуляция ценами стейблкоинов на Curve. Запуск краха инфраструктуры и массового вывода ликвидности, многократно превысившего прямые потери.

Ноябрь 2020 г.: Compound ($89 млн ликвидировано) DAI вырос до $1,30 на Coinbase Pro — нигде больше. Оракул Compound использовал Coinbase как ориентир. Пользователи ликвидированы по ценам, которые существовали на одной бирже в течение часа. Для манипуляции ордербука с глубиной 300 тыс. требовалось $100 тыс.

Октябрь 2022 г.: Mango Markets ($117 млн) $5 млн стартового капитала. Разгон токена MNGO на 2 394% на нескольких площадках. Заём $117 млн под раздутый залог. Использование украденных токенов управления для принятия решения о “баг-баунти” в $47 млн. Первая мера CFTC по манипуляции оракулом.

Общий принцип

Все атаки следовали одной логике:

1. Выявить зависимость оракула от манипулируемого источника
2. Рассчитать: стоимость манипуляции < ожидаемая выгода
3. Реализовать атаку
4. Получить прибыль

За 2020–2022 гг.: $403,2 млн украдено через 41 атаку на оракулы.

Реакция индустрии: фрагментарная, медленная, неполная. Большинство платформ продолжили использование спотовых оракулов с недостаточной диверсификацией.

И затем наступил октябрь 2025 г.

Анатомия сбоя оракула: версия 2025

10 октября 2025 г., 05:43: сброс $60 млн USDe на спотовых рынках.

В корректно сконструированном оракуле: минимальное влияние, поглощённое независимыми источниками.

В данном случае: катастрофа.

$60 млн сброса → оракул снижает стоимость залога (wBETH, BNSOL, USDe) →

Массовые ликвидации → перегруз инфраструктуры → вакуум ликвидности → $19,3 млрд уничтожено

Фактор усиления

• Mango Markets (2022): $5 млн манипуляции → $117 млн извлечено (23x)
• Октябрь 2025 г.: $60 млн манипуляции → $19,3 млрд уничтожено (322x)

Причина — не технологическая сложность. Причина — та же уязвимость, масштабированная до институционального уровня.

Проблема распределения веса

Оракул был чрезмерно зависим от спотовых цен на основной торговой площадке. Когда одна площадка доминирует по объёму:

• Высокий объём кажется признаком достоверной цены (кажется логичным)
• Но концентрация создаёт уязвимость для манипуляций (фатально)
• Использование исключительно внутренних цен создаёт самозамкнутый цикл (усугубляет проблему)

Один аналитик точно подметил ошибку: “раз [биржа] обладает наибольшим объёмом usde/bnsol/wbeth, даже с учётом веса оракула, надо брать спотовую цену.”

Эта интуиция — ориентироваться на крупнейший рынок — уничтожила миллиарды за пять лет атак на оракулы. Концентрация объёмов — не признак точности цен, а признак риска манипуляций.

Запланированное окно уязвимости

Обновление методологии оракула было анонсировано за восемь дней до внедрения. У атакующего были:

• Известные зависимости оракула
• Предсказуемый тайминг перехода
• Восемь дней на подготовку и позиционирование

Ранее атаки на оракулы использовали существующие уязвимости. В октябре 2025 г. была эксплуатирована уязвимость на этапе перехода между методологиями — она возникла только из-за предварительного анонса изменений.

Тест изолированности площадки

Главное доказательство сбоя оракула, а не потери актива:

Основная биржа: USDe — $0,6567, wBETH — $430 Другие площадки: < 30 базисных пунктов отклонения

Ончейн-пулы: минимальное влияние

Как отметил Guy из Ethena: “на протяжении всего события было доступно более $9 млрд стейблкоин-залога для немедленного вывода.”

Цены изменились только на бирже — источнике оракула, при этом остались стабильными на других площадках. Оракул транслировал манипулированную цену. Система ликвидировала по ценам, которых не было нигде больше на рынке.

Это паттерн Compound 2020: изолированная манипуляция на площадке, достоверно отражённая, системно разрушительная.

Каскад инфраструктуры

Аналитик agintender определил механизм усиления:

“каскад ликвидаций вызвал перегрузку серверов миллионами запросов. Маркет-мейкеры не успевали размещать ордера, что привело к вакууму ликвидности”

Это паттерн Harvest Finance в крупном масштабе. Атака запускает ликвидации быстрее, чем система может их обработать. Маркет-мейкеры не успевают реагировать. Ликвидность исчезает. Каскад становится самоподдерживающимся.

После коллапса инфраструктуры Harvest в октябре 2020 г. (TVL снизился с $1 млрд до $599 млн), урок был очевиден: оракулы должны учитывать пропускную способность инфраструктуры в стрессовых условиях.

Октябрь 2025 г. показал, что этот урок не усвоен.

Компромисс чувствительности: два подхода, одна катастрофа

Guy из Ethena сформулировал ключевую задачу: оракулы должны различать временный рыночный шум и реальные потери.

Октябрь 2025 г. показал две реакции:

Высокочувствительный подход (потерпевшая биржа)

• Спотовые цены в реальном времени
• Молниеносная реакция на рынок
• Результат: каскад на $19 млрд

Это подход bZx/Harvest: доверие споту — разрушение через манипуляцию.

Высокостабильный подход (выжившие DeFi-протоколы)

• Жёсткая фиксация USDe = USDT
• Игнорирование временных дислокаций
• Результат: отсутствуют ликвидации

Это перекос в другую сторону. Лучше, чем провал, но не оптимально.

У отрасли было пять лет для выработки сбалансированных решений. Итог — ни оптимального, ни приемлемого варианта: обе крайности, институциональный масштаб выбрал катастрофу.

Теорема атаки на оракул: теперь эмпирически подтверждена

Теорема: В любой системе с плечом, где:

1. Цены оракула зависят преимущественно от манипулируемых спотовых рынков
2. Триггеры ликвидации детерминированы
3. Инфраструктура ограничена по пропускной способности

Тогда: стоимость манипуляции < получаемая выгода через каскады

Доказательство — повторяющиеся инциденты:

• bZx (февраль 2020 г.): манипуляция Uniswap → $350 тыс. + $630 тыс. извлечено
• Harvest (октябрь 2020 г.): манипуляция Curve → $24 млн украдено + $570 млн бегства ликвидности
• Compound (ноябрь 2020 г.): манипуляция Coinbase → $89 млн ликвидировано
• Mango (октябрь 2022 г.): мультиплощадочная манипуляция → $117 млн извлечено
• Октябрь 2025 г.: манипуляция на основной площадке → $19,3 млрд уничтожено

С ростом масштаба системы ущерб возрастает экспоненциально. Стоимость манипуляции примерно постоянна (определяется ликвидностью площадки), а извлекаемая выгода растёт с общим уровнем плеча.

Октябрь 2025 г. подтвердил теорему на максимальном уровне.

Принципы проектирования оракулов: уроки, которые следовало усвоить

1. Мультифакторная валидация цен

Никогда не доверяйте ценам одной площадки, особенно внутреннему ордербуку. Это урок bZx за февраль 2020 г. Корректный оракул требует:

Цена оракула = взвешенное среднее из:

• Цены на нескольких площадках (40%)

• Ончейн-пулы ликвидности (30%)

• Коэффициенты конвертации для wrapped-активов (20%)

• Исторические цены с временным усреднением (10%)

Главное — независимость источников. Если все источники можно манипулировать одновременно разумным объёмом капитала, у вас фактически один источник.

1. Адаптивная чувствительность

Оракулы должны корректировать чувствительность в зависимости от рыночных условий:

• Обычные рынки: высокая чувствительность к изменениям цен
• Волатильные рынки: усиление стабильности за счёт временного усреднения
• Экстремальные движения: стопы и sanity-check’и

TWAP-оракулы получили массовое распространение после flash-loan атак 2020 г. для защиты от манипуляций одной транзакцией. В октябре 2025 г. оракулы по-прежнему реагировали на спотовые цены в реальном времени, будто уроки пяти лет забыты.

1. Устойчивость инфраструктуры

Оракулы должны сохранять работоспособность при каскадных событиях:

• Отдельная инфраструктура для ценовых фидов
• Вместимость миллионов одновременных запросов
• Плавная деградация при перегрузке

После коллапса инфраструктуры Harvest Finance в октябре 2020 г. стало ясно: пропускная способность в стрессовых условиях критична. Каскад ликвидаций создаёт экспоненциальную нагрузку. Ваша система должна справляться не только с первой ликвидацией, но и с тысячей одновременных ликвидаций, когда маркет-мейкеры не успевают, а пользователи паникуют.

1. Прозрачность без уязвимости

Восьмидневное окно между анонсом и внедрением создало предсказуемый вектор атаки. Лучшие практики:

• Внедрять изменения сразу после анонса
• Использовать rolling-обновления без фиксированных дат
• Сохранять audit-trails без предварительных окон

Это новый урок, вытекающий из теории игр: никогда не анонсируйте эксплуатируемые изменения заранее. Атакующий в октябре 2025 г. имел восемь дней на подготовку и точное знание момента уязвимости.

Академический взгляд: теорема атаки на оракул

С точки зрения теории, пять лет эмпирических данных доказывают:

Теорема: В любой системе с плечом, где:

1. Цены оракула зависят преимущественно от манипулируемых спотовых рынков
2. Триггеры ликвидации детерминированы
3. Инфраструктура ограничена по пропускной способности

Тогда: стоимость манипуляции < получаемая выгода через каскады

Доказательство — множественные инциденты:

• bZx (февраль 2020 г.): $10 млн заём, $350 тыс. извлечено. Манипуляция Uniswap.
• Harvest (октябрь 2020 г.): flash-loan $50 млн, $24 млн украдено + $570 млн бегства ликвидности.
• Compound (ноябрь 2020 г.): $100 тыс. на манипуляцию ордербука, $89 млн ликвидировано.
• Mango (октябрь 2022 г.): $5 млн стартового капитала, $117 млн извлечено.
• Октябрь 2025 г.: сброс $60 млн, $19,3 млрд уничтожено.

Динамика очевидна: линейный рост масштаба системы приводит к экспоненциальному росту ущерба. Стоимость манипуляции относительно постоянна (определяется ликвидностью площадки), а извлекаемая выгода пропорциональна общему плечу в системе.

Октябрь 2025 г. подтвердил теорему на рекордном уровне. Теорема работает.

Системные последствия: уроки, которые до сих пор не усвоены

Это не просто провал одной платформы — выявлены отраслевые уязвимости, сохраняющиеся несмотря на пять лет дорогостоящего обучения:

1. Чрезмерная зависимость от спотовых цен

Большинство платформ до сих пор используют спотовые оракулы, несмотря на то, что все крупные атаки с 2020 г. эксплуатировали именно эту уязвимость. Индустрия знает, что спотовые цены манипулируемы. Индустрия знает, что TWAP и мультифакторные оракулы обеспечивают лучшую защиту. Но внедрение всё ещё неполное.

Почему? Скорость и чувствительность — это преимущество, пока оно не становится багом. Обновления в режиме реального времени кажутся точными — пока их не манипулируют.

2. Риск концентрации

Доминирующие площадки создают единые точки отказа. Это было актуально, когда bZx зависел от Uniswap, Compound — от Coinbase, а платформа октября 2025 г. — от собственного ордербука. Площадка меняется — риск остаётся.

Когда одна биржа занимает основную долю объёма, использовать её как главный источник кажется логичным. Но концентрация в ценовых фидах — тот же риск, что и концентрация в любой системе: всё нормально до первой атаки.

3. Ошибочные предположения о инфраструктуре

Системы, спроектированные для нормальных условий, катастрофически рушатся при стрессе. Harvest Finance доказал это в 2020 г. Октябрь 2025 г. показал, что мы всё ещё проектируем для обычных условий, надеясь, что стресс не наступит.

Надежда — не стратегия.

4. Парадокс прозрачности

Анонсирование изменений создаёт окна для атаки. Восьмидневный промежуток между анонсом и внедрением изменений в оракуле дал профессиональным участникам дорожную карту и тайминг. Они знали, когда и что эксплуатировать.

Это новый тип сбоя для старой проблемы. Ранее атаки на оракулы использовали текущие уязвимости. В октябре 2025 г. была использована уязвимость перехода между методологиями — она возникла только из-за предварительного анонса изменений.

Путь вперёд: пора действительно учиться

Ближайшие меры

1. Гибридные оракулыСовмещайте несколько источников цен с рабочими sanity-check’ами:

• Цены CEX (с распределением по объёму между площадками)
• Цены DEX (только из пулов с высокой ликвидностью)
• Ончейн доказательства резервов
• Ограничения на отклонения между площадками

Каждый источник должен быть независимым. Если манипуляция одним источником влияет на другой, диверсификации нет.

2. Динамическое распределение весовКорректируйте чувствительность оракула в зависимости от рынка:

• Обычная волатильность: стандартные веса
• Высокая волатильность: увеличение окна TWAP, снижение влияния спота
• Экстремальные движения: приостановка ликвидаций, расследование перед продолжением

Атака на Compound показала, что иногда “правильная” цена на одной бирже ошибочна для всего рынка. Оракул должен это учитывать.

3. Circuit BreakersОстанавливайте ликвидации при экстремальных движениях цен — не для предотвращения легитимного снижения плеча, а для различения манипуляции и рыночной реальности:

• Если цены сходятся между площадками за минуты: вероятно, это реальное движение
• Если цены остаются изолированными на одной площадке: вероятно, манипуляция
• Если инфраструктура перегружена: приостановка до восстановления мощности

Цель — не исключить все ликвидации, а предотвратить каскад, вызванный манипулированными ценами.

4. Масштабируемость инфраструктурыПроектируйте под нагрузку в 100 раз выше обычной, потому что именно такую нагрузку создают каскады:

• Отдельная инфраструктура для ценовых фидов
• Независимые движки ликвидаций
• Ограничения скорости для отдельных адресов
• Протоколы плавной деградации

Если система не справляется с нагрузкой во время каскада, она усиливает его. Это требование архитектуры, а не оптимизация.

Долгосрочные решения

1.Децентрализованные сети оракуловПереход к зрелым решениям вроде Chainlink, Pyth или UMA с агрегированием источников и встроенной защитой от манипуляций. Это не идеал, но лучше, чем спотовые оракулы, которые эксплуатируются каждые 18 месяцев. bZx интегрировал Chainlink после атак 2020 г. и перестал страдать от манипуляций с оракулом. Это не совпадение.

2.Интеграция proof-of-reservesДля wrapped-активов и стейблкоинов необходима ончейн-верификация залога. USDe должен оцениваться по подтверждённым резервам, а не динамике ордербука. Технологии уже есть, внедрение отстаёт.

3.Постепенные ликвидацииПредотвращайте усиление каскадов через поэтапную ликвидацию:

• Первый порог: предупреждение и время на добавление залога
• Второй порог: частичная ликвидация (25%)
• Третий порог: большая ликвидация (50%)
• Финальный порог: полная ликвидация
  Это даёт пользователям время для реакции и снижает шок от массовых одновременных ликвидаций.

4.Аудит в реальном времениОтслеживайте попытки манипуляций оракулом:

• Отклонения цен между площадками
• Нетипичные объёмы на малоликвидных парах
• Резкое увеличение размера позиций перед обновлением оракула
• Сопоставление с известными паттернами атак

Атака октября 2025 г., вероятно, сопровождалась тревожными сигналами. Сброс $60 млн USDe в 05:43 должен был вызвать тревогу. Если мониторинг не обнаружил это — мониторинг недостаточен.

Выводы: напоминание о $19 млрд

Каскад ликвидаций 10–11 октября был вызван не чрезмерным плечом или паникой, а провалом архитектуры оракула в индустриальном масштабе. Сброс на $60 млн был усилен до $19 млрд потерь, потому что ценовые системы не смогли отличить манипуляцию от реального движения рынка.

Но это не новый тип сбоя. Это тот же сценарий, что уничтожил bZx в феврале 2020 г., Harvest в октябре 2020 г., Compound в ноябре 2020 г. и Mango в октябре 2022 г.

Индустрии преподан этот урок пять раз — с растущей ценой:

• 2020 г.: отдельные протоколы учились, внедряли исправления
• 2022 г.: регуляторы учились, начали меры
• 2025 г.: весь рынок учился, заплатил $19,3 млрд

Единственный вопрос — запомним ли мы урок.

Любая платформа, работающая с плечом, теперь должна спросить:

• Устойчив ли наш оракул к известным атакам 2020–2022 гг.?
• Сможет ли инфраструктура выдержать каскадные сценарии, которые уже были?
• Сбалансированы ли чувствительность и стабильность?
• Не повторяем ли мы ошибки, стоившие индустрии сотни миллионов?

Потому что опыт пяти лет показывает: манипуляция оракулом — не гипотетический риск, а документированная, повторяющаяся и прибыльная стратегия, масштабируемая с ростом рынка.

Октябрь 2025 г. показал, что бывает, если уроки не усвоены на институциональном уровне. Атака не была сложной или новой. Это был тот же сценарий, реализованный на крупной системе в предсказуемое окно уязвимости.

Оракул — фундамент. Если он трескается — рушится всё остальное. Мы знаем это с февраля 2020 г. Мы заплатили миллиарды за повторение урока. Вопрос — был ли октябрь 2025 г. достаточно дорогим, чтобы мы наконец начали действовать.

В современных взаимосвязанных рынках проектирование оракула — это не просто вопрос фидов, а вопрос системной устойчивости. Ошибка — и $60 млн превращаются в $19 млрд потерь.

Ошибаться снова и снова — значит не учиться на истории, а увеличивать цену её повторения.

Анализ основан на публичных рыночных данных, заявлениях платформ и пятилетних кейсах манипуляций оракулами. Мнение автора, не является позицией какой-либо организации.

Отказ от ответственности:

1. Статья перепечатана с [yq_acc]. Все авторские права принадлежат оригинальному автору [yq_acc]. Если вы возражаете против перепечатки, пожалуйста, обратитесь к команде Gate Learn, и вопрос будет решён оперативно.
2. Ограничение ответственности: Мнения и выводы, изложенные в статье, принадлежат исключительно автору и не являются инвестиционной рекомендацией.
3. Переводы статьи на другие языки осуществляются командой Gate Learn. Если иное не указано, копирование, распространение или плагиат перевода запрещены.