价格信息流设计如何将 6000 万美元变成 190 亿美元的灾难

2025 年 10 月 10 日至 11 日，市场大额抛售 6000 万美元，直接导致 193 亿美元市值化为乌有。这一切并非因市场崩盘，也不是因高杠杆头寸批量清算，而是由于预言机系统失效。

类似事件并不罕见。自 2020 年 2 月以来，相同攻击模式已多次得手，行业累计损失数亿美元，涉及数十起案例。2025 年 10 月的事件相比此前最大预言机攻击，放大了 160 倍——并非技术更高明，而是系统扩容时，核心漏洞并未得到根本改善。

五年的惨痛教训，最终被忽略。本文将深入剖析原因。

预言机困境：敏感性与稳定性的取舍

所有杠杆平台都面临一个根本性挑战：如何精准定价抵押品，同时防止价格被人为操控？

过于敏感 → 易遭操纵攻击；过于稳定 → 难以反映真实损失。

2025 年 10 月选择了敏感方案。预言机紧跟现货价格，随着 6000 万美元市场大额抛售，实时下调抵押品估值，触发大规模清算。系统严格按设计运行。

但这套设计本质上存在灾难性缺陷。

五年反复发生的攻击模式

在拆解 2025 年 10 月事件前，需明白：类似场景我们已多次经历。

攻击蓝图（2020-2022 年）

2020 年 2 月：bZx（35 万美元 + 63 万美元），单一源预言机。通过闪电贷操控 Uniswap 上的 WBTC 价格，14.6% 供应量被用于影响 bZx 独家信赖的价格源。

2020 年 10 月：Harvest Finance（被盗 2400 万美元，流动性挤兑 57000 万美元），7 分钟内，闪电贷 5000 万美元，操纵 Curve 稳定币价格，引发基础设施崩溃和流动性撤离，后续损失远超初始盗窃。

2020 年 11 月：Compound（清算 8900 万美元），DAI 在 Coinbase Pro 上价格暴涨至 1.30 美元，其他平台无此价格。Compound 预言机以 Coinbase 为基准，用户因仅在单一场所出现的价格被清算。操控 30 万订单深度仅需 10 万美元。

2022 年 10 月：Mango Markets（11700 万美元），初始资本 500 万美元，MNGO 代币多平台暴涨 2394%，以虚高抵押品借出 11700 万美元。利用盗取的治理代币投票自授 4700 万美元“漏洞赏金”。CFTC 首次对预言机操纵执法。

共同逻辑

所有攻击均遵循同一套路：

1. 识别预言机依赖的可操控价格源
2. 计算：操纵成本 < 可获利金额
3. 实施攻击
4. 获利退出

2020-2022 年，41 起预言机操纵攻击，累计盗走 40320 万美元。

行业应对：分散、缓慢且残缺。多数平台仍采用现货依赖型预言机，冗余性不足。

直到 2025 年 10 月，危机再度升级。

预言机崩溃全解析：2025 年版

2025 年 10 月 10 日 5:43，6000 万美元 USDe 被抛售至现货市场。

合理设计的预言机：影响有限，由多方独立数据源共同吸收。

本次预言机：直接引发灾难。

6000 万美元抛售 → 预言机下调抵押品估值（wBETH、BNSOL、USDe） →

大规模清算 → 基础设施过载 → 流动性真空 → 193 亿美元市值消失

放大效应

• Mango Markets（2022）：500 万美元操纵 → 提取 11700 万美元（23 倍）
• 2025 年 10 月：6000 万美元操纵 → 193 亿美元市值毁灭（322 倍）

根本原因并非技术复杂，而是同样的漏洞在机构级规模下泛滥。

权重分布难题

预言机高度依赖主交易平台现货价格。当单一场所成交量占据主导：

• 高成交量看似推动价格发现（表面合理）
• 但集中度带来巨大操纵风险（致命）
• 仅用内部价格形成自我反馈回路（加剧问题）

一位分析师的观点直接揭示了逻辑缺陷：“因为[该交易所]的 USDe/BNSOL/wBETH 成交量最大，即使按预言机权重，也应参照现货价。”

这种直觉——信任最大市场——五年来已导致数十亿美元损失。量集中不是价格更准的证据，而是操纵空间的证明。

预定漏洞窗口

预言机方法升级提前八天公布。攻击者拥有：

• 已知预言机依赖结构
• 可预测的切换时间点
• 八天布局与筹备时间

此前攻击利用已存漏洞，2025 年 10 月则利用预言机切换窗口——该漏洞仅因改进提前披露而存在。

场所隔离测试

最直接证据显示，此次事件是预言机失效而非资产实际受损：

主交易所：USDe 价格 0.6567 美元，wBETH 430 美元；其他场所：不足 30 个基点偏差

链上资金池：几乎无影响

正如 Ethena 的 Guy 指出：“事件期间，市场可立即赎回的稳定币抵押品超过 90 亿美元。”

预言机来源场所价格剧烈波动，其他市场价格基本稳定。预言机报告被操纵的价格，系统按此清算，而市场其他地方并无该价。

这正是 Compound 2020 年模式：孤立场所被操纵，预言机如实报告，系统性毁灭。

基础设施连锁崩溃

分析师 agintender 揭示了放大机制：

“批量清算导致服务器繁忙，数百万请求涌入。做市商无法及时挂单，流动性出现真空。”

这正是 Harvest Finance 的规模化翻版。攻击触发的清算速度远超基础设施处理能力，市场做市商无法响应，流动性消失，连锁效应自我强化。

Harvest 2020 年 10 月基础设施崩溃（TVL 总锁定价值从 10 亿美元跌至 59900 万美元），教训已无比明显：预言机系统必须考虑压力下基础设施承载力。

2025 年 10 月证明，我们仍未吸取这一教训。

敏感性权衡：两种路径，一场灾难

Ethena 的 Guy 总结了核心设计难题：预言机需区分临时错位（市场噪音）与永久受损（真实损失）。

2025 年 10 月展现了两大应对方案：

高敏感度方案（失败交易所）

• 实时现货价格
• 市场响应超快
• 后果：190 亿美元批量清算

即 bZx/Harvest 路线：信任现货市场，却被操纵摧毁。

高稳定性方案（DeFi 幸存者）

• USDe 与 USDT 固定汇率
• 忽略临时错位
• 后果：无清算

这属于过度修正。虽优于系统性失败，却并不理想。

行业有五年时间开发更精细方案，结果既无最优也无可接受——反而在机构级别选择了灾难性极端。

预言机攻击定理：实证成立

定理：所有杠杆系统中，若满足：

1. 预言机价格主要依赖可操控现货市场
2. 清算触发为确定性
3. 基础设施有容量瓶颈

则：操纵成本 < 连锁反应可获利金额

多次实证：

• bZx（2020 年 2 月）：Uniswap 被操纵 → 提取 35 万 + 63 万美元
• Harvest（2020 年 10 月）：Curve 被操纵 → 盗窃 2400 万美元 + 流动性挤兑 57000 万美元
• Compound（2020 年 11 月）：Coinbase 被操纵 → 清算 8900 万美元
• Mango（2022 年 10 月）：多场所操控 → 提取 11700 万美元
• 2025 年 10 月：主场所被操控 → 毁灭 193 亿美元

系统规模线性增长，损失却呈指数级放大。操纵成本大致稳定（由场所流动性决定），可获利金额随杠杆总额暴增。

2025 年 10 月在空前规模下验证了该定理。

预言机设计原则：本应吸取的教训

1. 多源价格验证

绝不可仅依赖单一场所价格，尤其是自有订单簿。这是 bZx 2020 年 2 月的教训。合理预言机设计需：

预言机价格 = 加权平均：

• 多平台价格（40%）
• 链上流动池（30%）
• 包装资产兑换比例（20%）
• 历史价格时间加权（10%）

权重不如独立性重要。若所有数据源可同步操纵，实则等同单一源。

1. 自适应敏感度

预言机应根据市场状况自动调整敏感度：

• 常规市场：增强对价格变化的敏感性
• 波动市场：通过时间加权提升稳定性
• 极端行情：设置熔断与合理性检查

2020 年闪电贷攻击后，TWAP（时间加权平均价格）预言机广泛应用，专为防止单笔操纵。但 2025 年 10 月仍采用实时现货响应，仿佛过去五年毫无进步。

1. 基础设施韧性

预言机系统必须在连锁事件下保持运行：

• 价格源与清算引擎分离
• 支持数百万并发请求
• 高负载时平滑降级

Harvest Finance 2020 年 10 月基础设施崩溃后，系统容量在压力下的重要性已无可忽视。批量清算会产生指数级负载，系统不仅需应对首笔清算，还要能承载千笔同时清算，尤其是做市商失效、用户恐慌时。

1. 透明性不能制造漏洞

公告与实施间的八天窗口成已知攻击点。更优做法：

• 公告后立即实施
• 采用滚动更新制度，无固定日期
• 保留审计轨迹但无预览期

这是全新教训，但符合博弈论逻辑：绝不可提前公开可利用的变更。2025 年 10 月攻击者有八天充分准备，准确掌握漏洞窗口。

学术视角：预言机攻击定理

理论上，五年实证已证明：

定理：所有杠杆系统中，若满足：

1. 预言机价格主要依赖可操控现货市场
2. 清算触发为确定性
3. 基础设施有容量瓶颈

则：操纵成本 < 连锁反应可获利金额

多次实证验证：

• bZx（2020 年 2 月）：借贷 1000 万美元，提取 35 万美元，预言机被 Uniswap 操纵。
• Harvest（2020 年 10 月）：闪电贷 5000 万美元，盗窃 2400 万美元 + 流动性挤兑 57000 万美元。
• Compound（2020 年 11 月）：10 万美元操控订单簿，清算 8900 万美元。
• Mango（2022 年 10 月）：初始资本 500 万美元，提取 11700 万美元。
• 2025 年 10 月：现货抛售 6000 万美元，毁灭 193 亿美元。

规律明显：系统规模线性扩展，损失指数级放大。操纵成本相对恒定（由可操控场所流动性决定），可获利金额随杠杆总额暴增。

2025 年 10 月实证验证了该定理。

系统性影响：我们依然未吸取的教训

这不仅是某个平台的失败，更暴露了行业五年来持续存在的系统性漏洞：

1. 对现货价格的过度依赖

大多数平台仍采用现货型预言机，尽管自 2020 年以来所有重大攻击均利用此漏洞。行业已知现货易被操纵，也知 TWAP 和多源预言机更安全，但真正落地仍不彻底。

原因？速度和敏感性原本是优势，却极易变成隐患。实时价格更新看似更准——直到有人操控。

2. 集中风险

主导场所成为系统单点故障。无论 bZx 依赖 Uniswap，Compound 依赖 Coinbase，还是 2025 年 10 月平台依赖自有订单簿，场所变了，漏洞没变。

当某平台成交量占主导，用其做主要预言机源似乎合理。但价格源集中风险如同任何系统集中风险：短期无碍，一旦被利用就极其致命。

3. 基础设施假设

只为常规市场设计的系统在压力下必然崩溃。2020 年 Harvest Finance 已证明这一点。2025 年 10 月表明，我们仍然只为平稳行情设计，寄希望于压力不会发生。

但希望不是策略。

4. 透明性悖论

提前公告改进会制造攻击窗口。预言机变更公告与实施间的八天间隙，为技术型攻击者提供了路线图和时间表，令其精确打击、精准利用。

这是旧问题的新表现。此前攻击利用已存漏洞，2025 年 10 月则利用预言机切换窗口——该漏洞因改进提前披露而存在。

前行之路：这次必须真正吸取教训

即时改进

1. 混合型预言机设计多源价格结合有效合理性检查：

• CEX 价格（多平台按成交量加权）
• DEX 价格（仅高流动性池）
• 链上储备证明
• 跨平台价格偏差限制

每个数据源须彼此独立。若操控一处即可影响另一处，冗余性就失效。

2. 动态权重根据市场状况调整预言机敏感度：

• 常规波动：标准权重
• 高波动：拉长 TWAP 窗口，降低现货影响
• 极端行情：暂停清算，先调查后处理

Compound 案例表明，某场所的“正确”价格可能并不代表全市场。预言机要能识别。

3. 熔断机制极端价格波动时暂停清算——不是阻止合理去杠杆，而是区分操控和市场真实：

• 数分钟内各平台价格趋同：属真实行情
• 仅单一场所异动：属操控
• 基础设施过载：暂停，待恢复后再执行

目标不是禁清算，而是防止因被操控价格引发批量清算。

4. 基础设施扩容按 100 倍常规容量设计，因为批量清算会产生极端负载：

• 价格源独立基础设施
• 清算引擎独立运行
• 单地址限速
• 平滑降级处理协议

系统若无法承载批量清算负载，将进一步放大危机。必须作为设计底线。

长期解决方案

1. 去中心化预言机网络采用成熟预言机方案，如 Chainlink、Pyth 或 UMA，实现多源聚合和抗操纵机制。虽不完美，但远优于易受攻击的单一现货型预言机。bZx 2020 年后集成 Chainlink，预言机攻击不再发生，这不是巧合。

2. 储备证明集成对包装资产和稳定币，需链上验证抵押品价值。USDe 应以可验证储备定价，而非订单簿动态。技术已成熟，实现尚待跟进。

3. 分阶段清算分批进行，防止批量放大：

• 第一阶段：预警并允许补充抵押品
• 第二阶段：部分清算（25%）
• 第三阶段：大额清算（50%）
• 最终阶段：全部清算
  用户有时间应对，系统冲击大幅降低。

4. 实时审计监控预言机操纵迹象：

• 跨平台价格偏差
• 低流动性币对异常成交量
• 预言机更新前持仓突增
• 对已知攻击模式进行自动识别

2025 年 10 月攻击很可能有预警。凌晨 5:43 抛售 6000 万美元 USDe 应触发警报。若监控未发现，说明系统仍有缺陷。

结论：193 亿美元的警示

2025 年 10 月 10-11 日的批量清算，并非杠杆过度或市场恐慌所致，而是预言机设计失误在大规模下放大。一笔 6000 万美元市场操作被放大成 193 亿美元市值毁灭，只因价格系统无法区分操控与真实价格发现。

但这并非新型失败模式。bZx（2020 年 2 月）、Harvest（2020 年 10 月）、Compound（2020 年 11 月）、Mango（2022 年 10 月），每一次都一样。

行业已被上过五次教训，代价逐次飙升：

• 2020 年：协议自学自改
• 2022 年：监管开始介入
• 2025 年：全市场付出 193 亿美元学费

唯一问题是，我们是否真正记住了教训。

所有杠杆平台都必须自问：

• 预言机能否防范 2020-2022 年已知攻击？
• 基础设施可否承载已见过的批量清算？
• 敏感性与稳定性权衡是否合理？
• 是否还在重蹈数亿美元的覆辙？

五年历史已证明，预言机操纵不是假设风险或边缘案例——而是有据可查、反复出现、极具利润的攻击模式，且随市场规模增长而升级。

2025 年 10 月事件证明，当这些教训在机构层面被忽略，后果极其严重。此次攻击既不复杂也不新颖，不过是同一本剧本，在更大系统、已知漏洞窗口下重演。

预言机是整个系统的地基。一旦裂隙出现，上层全部崩塌。从 2020 年 2 月起，我们已为此反复付出数十亿美元。唯一问题是，2025 年 10 月的代价是否足以让行业采取切实行动。

在现代互联市场，预言机设计不仅是数据源技术，更关乎系统性稳定。失误一次，6000 万美元可摧毁 193 亿美元。

一再失误就是不吸取教训，只是在不断加大重复错误的成本。

分析基于公开市场数据、平台声明及五年预言机操纵案例研究。观点仅代表本人，参考但不代表任何机构。

免责声明：

1. 本文转载自 [yq_acc]，版权归原作者 [yq_acc] 所有。如对转载有异议，请联系 Gate Learn 团队，我们将及时处理。
2. 免责声明：文中观点仅代表作者本人，不构成任何投资建议。
3. 本文其他语言版本由 Gate Learn 团队翻译，除特殊说明外，禁止复制、分发或剽窃已翻译内容。