價格資訊流的設計，如何讓 6,000 萬美元演變成 190 億美元的重大災難

2025 年 10 月 10 日至 11 日，市場大額拋售 6,000 萬美元，直接造成 193 億美元的市值消失。這並非市場崩盤，也不是高槓桿部位遭批次清算，而是因預言機系統失效所致。

類似事件並不罕見。自 2020 年 2 月起，這類攻擊模式已多次成功，產業累積損失數億美元，涉及數十個案例。2025 年 10 月的事件，規模較先前最大預言機攻擊放大 160 倍——並非技術更高明，而是系統擴容時，核心漏洞未獲根本改善。

五年來的經驗教訓，最終未獲重視。本文將深入分析其原因。

預言機困境：敏感性與穩定性的抉擇

所有槓桿平台都面臨一項根本挑戰：如何精確定價抵押品，同時防止價格遭人為操控？

過度敏感 → 易遭操控攻擊；過度穩定 → 難以反映真實損失。

2025 年 10 月選擇敏感方案。預言機緊貼現貨價格，隨著 6,000 萬美元市場拋售，即時下調抵押品估值，引發大規模清算。系統嚴格依設計運作。

但此設計本質上存在災難性缺陷。

五年重複上演的攻擊模式

在剖析 2025 年 10 月事件前，必須明白：類似情境已反覆發生。

攻擊藍圖（2020-2022 年）

2020 年 2 月：bZx（35 萬美元 + 63 萬美元），單一來源預言機。閃電貸操控 Uniswap 上 WBTC 價格，14.6% 供應量用於影響 bZx 信賴的價格源。

2020 年 10 月：Harvest Finance（被竊 2,400 萬美元，流動性擠兌 5,700 萬美元），7 分鐘閃電貸 5,000 萬美元，操控 Curve 穩定幣價格，導致基礎設施崩潰與資金撤離，後續損失遠超初始竊盜。

2020 年 11 月：Compound（清算 8,900 萬美元），DAI 在 Coinbase Pro 價格飆升至 1.30 美元，其他平台無此價格。Compound 預言機以 Coinbase 為基準，因單一場域價格而清算用戶。操控 30 萬訂單深度僅需 10 萬美元。

2022 年 10 月：Mango Markets（1,170 萬美元），初始資本 500 萬美元，MNGO 代幣多平台暴漲 2,394%，以虛高抵押品借出 1,170 萬美元。利用竊得的治理代幣投票自授 4,700 萬美元「漏洞獎金」。CFTC 首度對預言機操控執法。

共同邏輯

所有攻擊均照同一套路：

1. 識別預言機依賴的可操控價格源
2. 計算：操控成本 < 可獲利金額
3. 發動攻擊
4. 獲利退出

2020-2022 年，預言機操控攻擊共 41 起，累計竊走 4,032 萬美元。

產業反應：分散、緩慢且殘缺。多數平台仍採現貨依賴型預言機，冗餘性不足。

直到 2025 年 10 月，危機再度升級。

預言機崩潰全解析：2025 年版

2025 年 10 月 10 日 5:43，6,000 萬美元 USDe 拋售至現貨市場。

合理設計的預言機：衝擊有限，由多方獨立數據源共同吸收。

本次預言機：直接引發災難。

6,000 萬美元拋售 → 預言機下調抵押品估值（wBETH、BNSOL、USDe） →

大規模清算 → 基礎設施過載 → 流動性真空 → 193 億美元市值消失

放大效應

• Mango Markets（2022）：500 萬美元操控 → 提取 1,170 萬美元（23 倍）
• 2025 年 10 月：6,000 萬美元操控 → 193 億美元市值毀滅（322 倍）

根本原因並非技術複雜，而是同樣的漏洞在機構級規模下重現。

權重分布難題

預言機高度依賴主交易所現貨價格。當單一場域成交量占主導：

• 高成交量看似推動價格發現（表面合理）
• 但集中度帶來巨大操控風險（致命）
• 僅用內部價格形成自我回饋迴路（惡化問題）

一名分析師直指邏輯缺陷：「因為[該交易所]的 USDe/BNSOL/wBETH 成交量最大，即使按預言機權重，也應參照現貨價。」

這種直覺——信任最大市場——五年來已導致數十億美元損失。成交量集中不是價格更精準的證據，而是操控空間的證明。

預定漏洞窗口

預言機方法升級提前八天公告。攻擊者擁有：

• 已知預言機依賴架構
• 可預測的切換時點
• 八天佈局及準備時間

以往攻擊利用既有漏洞，2025 年 10 月則利用預言機切換窗口——此漏洞僅因改進提前公告而產生。

場域隔離驗證

最直接證據顯示，此次事件是預言機失效而非資產實質受損：

主交易所：USDe 價格 0.6567 美元，wBETH 430 美元；其他場域：不到 30 個基點偏差

鏈上資金池：幾乎無影響

正如 Ethena 的 Guy 指出：「事件期間，市場可即時兌回的穩定幣抵押品超過 90 億美元。」

預言機來源場域價格劇烈波動，其他市場價格基本穩定。預言機報告被操控的價格，系統依據該價清算，其他場域並無此價。

這正是 Compound 2020 年模式：孤立場域被操控，預言機如實報告，造成重大損失。

基礎設施連鎖崩潰

分析師 agintender 揭示放大機制：

「批量清算造成伺服器忙碌，數百萬請求湧入。做市商無法即時掛單，流動性出現真空。」

這正是 Harvest Finance 的規模化翻版。攻擊觸發的清算速度遠超基礎設施處理能力，市場做市商無法回應，流動性消失，連鎖效應自我強化。

Harvest 2020 年 10 月基礎設施崩潰（TVL 由 10 億美元跌至 5,990 萬美元），教訓早已明顯：預言機系統必須考量壓力下基礎設施承載力。

2025 年 10 月證明，我們至今未吸取教訓。

敏感性權衡：兩條路徑，一場災難

Ethena 的 Guy 指出核心設計挑戰：預言機必須區分暫時錯位（市場雜訊）與永久受損（真實損失）。

2025 年 10 月呈現兩種應對方案：

高敏感度方案（失敗交易所）

• 即時現貨價格
• 市場反應極快
• 結果：190 億美元批量清算

即 bZx/Harvest 路線：信任現貨市場，卻遭操控摧毀。

高穩定性方案（DeFi 倖存者）

• USDe 與 USDT 固定匯率
• 忽略暫時錯位
• 結果：無清算

這屬於過度修正。雖優於系統性失敗，但並不理想。

行業有五年時間開發更精細方案，結果既無最優也不合格——反而在機構層級選擇了災難性極端。

預言機攻擊定理：實證成立

定理：所有槓桿系統，只要滿足：

1. 預言機價格主要依賴可操控現貨市場
2. 清算觸發為確定性
3. 基礎設施有容量瓶頸

則：操控成本 < 連鎖反應可獲利金額

多次實證：

• bZx（2020 年 2 月）：Uniswap 被操控 → 提取 35 萬 + 63 萬美元
• Harvest（2020 年 10 月）：Curve 被操控 → 竊取 2,400 萬美元 + 流動性擠兌 5,700 萬美元
• Compound（2020 年 11 月）：Coinbase 被操控 → 清算 8,900 萬美元
• Mango（2022 年 10 月）：多場域操控 → 提取 1,170 萬美元
• 2025 年 10 月：主場域被操控 → 毀滅 193 億美元

系統規模線性成長，損失卻呈指數級放大。操控成本大致穩定（由場域流動性決定），可獲利金額隨槓桿總額暴增。

2025 年 10 月在空前規模下驗證此定理。

預言機設計原則：本應吸取的教訓

1. 多源價格驗證

絕不可只依賴單一場域價格，尤其是自有訂單簿。這是 bZx 2020 年 2 月的教訓。合理預言機設計需：

預言機價格 = 加權平均：

• 多平台價格（40%）
• 鏈上流動池（30%）
• 包裝資產兌換比例（20%）
• 歷史價格時間加權（10%）

權重不如獨立性重要。若所有數據源可同步操控，實則等同單一源。

1. 自適應敏感度

預言機應依市場狀況自動調整敏感度：

• 常態市場：加強對價格變動的敏感性
• 波動市場：時間加權提升穩定性
• 極端行情：設置熔斷與合理性檢查

2020 年閃電貸攻擊後，TWAP（時間加權平均價格）預言機廣泛採用，專為防止單筆操控。但 2025 年 10 月仍採即時現貨響應，彷彿五年毫無進步。

1. 基礎設施韌性

預言機系統必須可在連鎖事件下持續運作：

• 價格源與清算引擎分離
• 支援數百萬並發請求
• 高負載時平滑降級

Harvest Finance 2020 年 10 月基礎設施崩潰後，系統容量在壓力下的重要性早已不容忽視。批量清算會產生指數級負載，系統不僅要應對首筆清算，更要能承載千筆同時清算，尤其做市商失效、用戶恐慌時。

1. 透明性不能製造漏洞

公告與實施間的八天窗口成為已知攻擊點。更佳做法：

• 公告後立即實施
• 採滾動更新，無固定日期
• 保留稽核軌跡但無預覽期

這是全新教訓，也符合理論邏輯：絕不可提前公開可利用的變更。2025 年 10 月攻擊者有八天充分準備，精確掌握漏洞窗口。

學術視角：預言機攻擊定理

理論上，五年實證已證明：

定理：所有槓桿系統，只要滿足：

1. 預言機價格主要依賴可操控現貨市場
2. 清算觸發為確定性
3. 基礎設施有容量瓶頸

則：操控成本 < 連鎖反應可獲利金額

多次實證驗證：

• bZx（2020 年 2 月）：借貸 1,000 萬美元，提取 35 萬美元，預言機遭 Uniswap 操控。
• Harvest（2020 年 10 月）：閃電貸 5,000 萬美元，竊取 2,400 萬美元 + 流動性擠兌 5,700 萬美元。
• Compound（2020 年 11 月）：10 萬美元操控訂單簿，清算 8,900 萬美元。
• Mango（2022 年 10 月）：初始資本 500 萬美元，提取 1,170 萬美元。
• 2025 年 10 月：現貨拋售 6,000 萬美元，毀滅 193 億美元。

規律明顯：系統規模線性擴展，損失指數級放大。操控成本相對穩定（由可操控場域流動性決定），可獲利金額隨槓桿總額暴增。

2025 年 10 月實證驗證此定理。

系統性衝擊：我們還沒吸取的教訓

這不只是單一平台失敗，更暴露產業五年來持續存在的系統性漏洞：

1. 過度依賴現貨價格

多數平台仍採現貨型預言機，儘管自 2020 年以來所有重大攻擊均利用此漏洞。業界明知現貨易遭操控，也知 TWAP 與多源預言機更安全，但落實仍不徹底。

主因在於：速度與敏感性原本是優勢，卻極易變成隱憂。即時價格更新看似精準——直到遭人操控。

2. 集中風險

主導場域成為系統單點故障。不論 bZx 依賴 Uniswap、Compound 依賴 Coinbase，或 2025 年 10 月平台依賴自有訂單簿，場域變了，漏洞未變。

當某平台成交量占主導，用其作主要預言機源似乎合理，但價格源集中風險如同任何系統集中風險：短期無礙，一旦被利用即極其致命。

3. 基礎設施假設

只為常態市場設計的系統，遇壓力必然崩潰。2020 年 Harvest Finance 已證明此事。2025 年 10 月顯示，我們仍只為平穩行情設計，僅寄望市場維持穩定並非有效策略。

4. 透明性悖論

提前公告改進會造成攻擊窗口。預言機公告與實施間的八天空窗，為技術型攻擊者提供路線圖與時程，令其精準打擊、精確利用。

這是舊問題的新表現。以往攻擊利用既有漏洞，2025 年 10 月則利用預言機切換窗口——此漏洞因改進提前揭露而存在。

前行之路：這次必須真正吸取教訓

即時改進

1. 混合型預言機設計，結合多源價格並有效合理性檢查：

• CEX 價格（多平台按成交量加權）
• DEX 價格（僅限高流動性池）
• 鏈上儲備證明
• 跨平台價格偏差限制

每項數據源須彼此獨立。若操控一處可影響另一處，冗餘性即失效。

2. 動態權重依市場情境調整預言機敏感度：

• 常態波動：標準權重
• 高波動：拉長 TWAP 視窗，降低現貨影響
• 極端行情：暫停清算，先調查後處理

Compound 案例顯示，某場域的「正確」價格未必代表全市場，預言機需能識別。

3. 熔斷機制，極端價格波動時暫停清算——不是阻止合理去槓桿，而是區分操控與市場真實：

• 數分鐘內各平台價格趨同：屬真實行情
• 僅單一場域異動：屬操控
• 基礎設施過載：暫停，待恢復再執行

目標不是禁止清算，而是防止被操控價格引發批量清算。

4. 基礎設施擴容，按 100 倍常態容量設計，因批量清算會產生極端負載：

• 價格源獨立基礎設施
• 清算引擎獨立運作
• 單一地址限速
• 平滑降級處理協議

系統若無法承載批量清算負載，危機將進一步放大。必須列為設計底線。

長期解決方案

1. 去中心化預言機網路採成熟預言機方案，如 Chainlink、Pyth 或 UMA，實現多源聚合與抗操控機制。雖不完美，仍遠勝易受攻擊的單一現貨型預言機。bZx 2020 年後整合 Chainlink，預言機攻擊不再發生，這並非巧合。

2. 儲備證明整合包裝資產與穩定幣，需鏈上驗證抵押品價值。USDe 應以可驗證儲備定價，而非訂單簿動態。技術已成熟，落實尚待跟進。

3. 分階段清算分批執行，防止批量放大：

• 第一階段：預警並允許補充抵押品
• 第二階段：部分清算（25%）
• 第三階段：大額清算（50%）
• 最終階段：全部清算
  用戶有時間因應，系統衝擊大幅降低。

4. 即時稽核監控預言機操控跡象：

• 跨平台價格偏差
• 低流動性幣對異常成交量
• 預言機更新前持倉突增
• 自動識別已知攻擊模式

2025 年 10 月攻擊很可能有預警。凌晨 5:43 拋售 6,000 萬美元 USDe 應觸發警報。若監控未發現，顯示系統仍有缺陷。

結論：193 億美元的警示

2025 年 10 月 10-11 日的批量清算，並非槓桿過度或市場恐慌所致，而是預言機設計失誤在大規模下放大。一筆 6,000 萬美元市場操作被放大為 193 億美元市值毀滅，只因價格系統無法區分操控與真實價格發現。

但這並非新型失敗模式。bZx（2020 年 2 月）、Harvest（2020 年 10 月）、Compound（2020 年 11 月）、Mango（2022 年 10 月），每次皆如出一轍。

產業已付出五次慘痛代價，損失逐次飆升：

• 2020 年：協議自學自改
• 2022 年：監管開始介入
• 2025 年：全市場付出 193 億美元學費

關鍵在於產業是否能真正記取相關教訓。

所有槓桿平台都該自問：

• 預言機能否防範 2020-2022 年已知攻擊？
• 基礎設施能否承載已見過的批量清算？
• 敏感性與穩定性取捨是否合理？
• 是否還在重蹈數億美元覆轍？

五年歷史已證明，預言機操控不是假設風險或邊緣案例——而是有據可查、反覆出現、極具利潤的攻擊模式，且隨市場規模成長而升級。

2025 年 10 月事件證明，當這些教訓在機構層級遭忽略，後果極其嚴峻。這次攻擊既不複雜也不新穎，只是同一本劇本，在更大系統、已知漏洞窗口下重演。

預言機為整個系統基礎，若出現漏洞，可能導致系統性失敗。自 2020 年 2 月起，產業已為此反覆付出數十億美元。唯一問題是，2025 年 10 月的代價是否足夠讓產業真正行動。

在現代互聯市場，預言機設計不僅是數據源技術，更關乎系統性穩定。一次失誤，6,000 萬美元足以摧毀 193 億美元。

若未能吸取教訓，將持續承擔重複錯誤所造成的成本。

我們的分析基於公開市場數據、平台聲明及五年預言機操控案例。所有觀點僅代表作者本人，僅供參考，並不代表任何機構。

免責聲明：

1. 本文轉載自 [yq_acc]，版權歸原作者 [yq_acc] 所有。如對轉載有異議，請聯絡 Gate Learn 團隊，我們將及時處理。
2. 免責聲明：文中觀點僅代表作者本人，不構成任何投資建議。
3. 本文其他語言版本由 Gate Learn 團隊翻譯，除特殊說明外，禁止複製、分發或剽竊已翻譯內容。