2025年10月10日至11日,6,000萬美元的市場拋售導致193億美元的市值蒸發。這並非市場崩盤,也並非對合法受損部位的逐級追加保證金通知,而是預言機故障。這並不是什麼新鮮事。自2020年2月以來,同樣的攻擊模式已被成功利用,數十起事件對產業造成了數億美元的損失。 2025年10月的事件規模是先前最大規模預言機攻擊的160倍——這並非因為技術複雜,而是因為底層系統在維持相同基本漏洞的同時進行了擴展。五年來代價高昂的教訓被忽略了。本分析將探討其中的原因。
預言機困境:敏感度與穩定性
每個槓桿平台都面臨一個基本挑戰:如何準確定價抵押品並防止操縱?
過於敏感→操縱攻擊 過於穩定→錯過真正的損害
2025年10月,我們選擇了敏感度。預言機忠實地追蹤了現貨價格,6000萬美元被大量拋售,即時減記抵押品,引發了大規模清算。整個系統完全按照設計運作。
該設計存在嚴重缺陷。
我們拒絕看到的五年模式
在分析 2025 年 10 月之前,請先了解這一點:我們以前也經歷過這種情況。
藍圖(2020-2022)
2020 年 2 月:bZx(35 萬美元 + 63 萬美元)單一來源預言機。 Uniswap 的 WBTC 價格被閃電貸操縱。總供應量的 14.6% 被轉移用於操縱 bZx 所依賴的餵價。
2020年10月:Harvest Finance(2,400萬美元被盜,5.7億美元擠兌)七分鐘。 5000萬美元閃電貸。操縱Curve穩定幣價格。引發基礎設施崩盤和流動性撤離,其嚴重程度遠超最初的竊案。
2020 年 11 月:Compound(清算金額達 8,900 萬美元)的 DAI 在 Coinbase Pro 上飆升至 1.30 美元——其他任何地方都無法與之匹敵。 Compound 的預言機以 Coinbase 為基準。用戶根據一家交易所一小時內的價格進行清算。操縱深度為 30 萬的訂單簿需要 10 萬美元。
2022年10月:Mango Markets(1.17億美元)初始資本500萬美元。在多個平台將MNGO代幣價格上漲2394%。以高額抵押品借入1.17億美元。利用竊取的治理代幣為自己投票,獲得4700萬美元的「漏洞賞金」。 CFTC首次針對預言機操縱的執法行動。
共同點
每次攻擊都遵循相同的邏輯:
- 識別 Oracle 對可操作來源的依賴
- 計算:操作成本<可提取價值
- 執行
- 利潤
2020 年至 2022 年:41 次預言機操縱攻擊導致 4.032 億美元被竊。
產業反應:碎片化、緩慢、不完整。大多數的平台仍在使用冗餘、以現貨為主的預言機。
然後是2025年10月。
Oracle 故障剖析:2025 年版
2025 年 10 月 10 日,上午 5:43:6000 萬美元投入現貨市場。
在合理設計的預言機中:影響最小,由多個獨立來源吸收。
在這個神諭中:災難。
6 千萬美元現貨拋售 → Oracle 降低抵押品價格(wBETH、BNSOL、USDe)→ 大規模清算 → 基礎設施超載 → 流動性真空 → 193 億美元被摧毀
放大係數
- Mango Markets(2022 年):操縱 500 萬美元 → 提領 1.17 億美元(23 倍)
- 2025 年 10 月:6,000 萬美元操縱 → 193 億美元銷毀(322 倍)
這並不是因為複雜程度,而是因為同樣的脆弱性在機構層面也存在。
重量分配問題
預言機嚴重依賴主要交易場所的現貨價格。當一個交易場所的交易量占主導地位時:
- 高交易量表明價格發現發生在那裡(似乎是合理的)
- 但集中精力會導致操縱脆弱性(是致命的)
- 僅使用內部價格會形成自我參照循環(使問題更加複雜)
一位分析師的觀察抓住了其中存在的邏輯缺陷:“由於該交易所擁有最大的 usde/bnsol/wbeth 交易量,即使基於預言機權重,它也應該參考現貨價格。”
這種直覺——相信最大的市場——在五年來的預言機攻擊中已經摧毀了數十億美元。交易量集中度並非價格準確度的證據,而是操縱機會的證據。
預定的漏洞窗口
Oracle 方法論更新在實施前八天公佈。攻擊者已經:
- 已知的 Oracle 依賴項
- 可預測的過渡時間
- 八天定位和準備
先前的預言機攻擊利用了現有的漏洞。 2025 年 10 月的攻擊利用了預言機方法之間的轉換——這個漏洞之所以存在,是因為在實施之前就宣布了改進。
場地隔離測試
最明顯的證據是這是預言機故障,而不是資產減損:
主要交易所:USDe 價格為 0.6567 美元,wBETH 價格為 430 美元其他場所:<30 個基點偏差鏈上池:影響最小
正如 Ethena 的 Guy 所指出的:「在整個活動期間,有超過 90 億美元的按需穩定幣抵押品可供立即贖回」。
預言機來源交易所的價格劇烈波動,而其他地方的價格卻保持穩定。預言機報告了被操縱的價格。系統根據市場上其他地方不存在的價格進行了清算。
這就是 Compound 2020 的模式:孤立的場地操縱、忠實的報道、系統性的破壞。
基礎設施級聯
分析師 agintender 確定了放大機制:
“級聯清算導致伺服器忙於處理數百萬請求。做市商無法及時出價,導致流動性真空。”
這就是 Harvest Finance 的大規模模式。攻擊觸發清算的速度超過了基礎設施的處理速度。做市商無法應付。流動性消失。這種連鎖反應自我強化。
在 Harvest 的基礎設施於 2020 年 10 月崩潰之後(隨著用戶逃離,TVL 從 10 億美元跌至 5.99 億美元),教訓顯而易見:預言機系統必須在壓力事件期間考慮基礎設施容量。
2025 年 10 月證明我們沒有學到教訓。
敏感度權衡:兩種方法,一場災難
Ethena 的 Guy 闡述了核心設計挑戰:預言機必須區分暫時性錯位(市場噪音)和永久性損害(實際損失)。
2025 年 10 月出現了兩種反應:
高靈敏度方法(失敗的交換)
- 即時現貨價格
- 快速的市場反應
- 結果:190億美元的連鎖效應
這是 bZx/Harvest 的方法:信任現貨市場,被操縱摧毀。
高穩定性方法(DeFi 倖存者)
- 硬編碼 USDe = USDT
- 忽略暫時的錯位
- 結果:無清算
這是矯枉過正。比失敗好,但並非最佳選擇。
業界有五年的時間來制定細緻的解決方案。我們既沒有找到最優方案,也沒有找到可接受的方案──我們陷入了兩個極端,而機構規模最終選擇了一個災難性的方案。
預言機攻擊定理:現已得到實證驗證
定理:在任何槓桿系統:
- Oracle 價格主要取決於可操縱的現貨市場
- 清算觸發因素是確定性的
- 基礎設施有容量限制
然後:操作成本<透過級聯可提取的價值
反覆論證證明:
- bZx(2020 年 2 月):Uniswap 操縱 → 35 萬美元 + 63 萬美元被提取
- 收穫(2020 年 10 月):曲線操縱 → 2,400 萬美元被竊 + 5.7 億美元銀行擠兌
- Compound(2020 年 11 月):Coinbase 操縱 → 8,900 萬美元清算
- Mango(2022 年 10 月):多場地操縱 → 提取 1.17 億美元
- 2025年10月:主要場地操縱 → 193億美元損失
隨著系統規模線性成長,損害呈指數級增長。操縱成本大致保持不變(由場地流動性決定),但可提取價值會隨著系統總槓桿率的增長而增長。
2025 年 10 月將以前所未有的規模驗證該定理。
Oracle 設計原則:我們應該學習的教訓
1. 多源驗證
切勿依賴單一場所價格,尤其是來自你自己的訂單簿。這是 2020 年 2 月 bZx 的教訓。正確的預言機設計需求:
預言機價格 = 加權平均值:– 多個場所價格(40%)– 鏈上流動性池(30%)– 包裝資產的轉換率(20%)– 時間加權歷史價格(10%)
權重比獨立性更重要。如果你能用合理的資本同時操縱所有資訊來源,那麼你只有一個資訊來源,而不是多個。
2. 自適應靈敏度
預言機應該根據市場狀況調整敏感度:
- 正常市場:對價格變動的敏感度較高
- 波動的市場:透過時間加權提高穩定性
- 極端舉措:熔斷機制與健全性檢查
時間加權平均價格 (TWAP) 預言機在 2020 年閃電貸攻擊後被廣泛採用,旨在防止單筆交易操縱。然而,2025 年 10 月的預言機卻即時回應了現貨價格,彷彿之前的五年從未發生過一樣。
3. 基礎設施彈性
Oracle 系統必須在級聯事件期間維持功能:
- 獨立的價格資訊基礎設施
- 可同時處理數百萬次查詢
- 負載下優雅降級
2020 年 10 月 Harvest Finance 的基礎設施崩潰後,系統容量在壓力下的重要性顯而易見。清算級聯會導致負載呈指數級增長。您的基礎設施不僅要處理第一次清算,還要處理當做市商無法跟上、用戶恐慌時發生的第 1000 次同時清算。
4. 透明但不脆弱
從公告發佈到正式實施,短短八天的時間,就造成了一個已知的攻擊向量。更好的方法:
- 公告發布後立即實施變更
- 使用沒有固定日期的滾動更新
- 無需預覽期即可維護審計線索
這是一個新的教訓,儘管它符合賽局理論的邏輯:永遠不要事先宣布可利用的變更。 2025 年 10 月的攻擊者有八天的時間來規劃、定位和準備。他們確切地知道漏洞視窗何時會打開。
學術視角:預言機攻擊定理
從理論角度來看,五年的經驗證據證明:
定理:在任何槓桿系統:
- Oracle 價格主要取決於可操縱的現貨市場
- 清算觸發因素是確定性的
- 基礎設施有容量限制
那麼:操作成本<透過級聯可提取的價值
經過反覆實證驗證證明:
- bZx(2020 年 2 月):借入 1,000 萬美元,提領 35 萬美元。透過 Uniswap 進行預言機操作。
- 收穫(2020 年 10 月):5,000 萬美元閃電貸款、2,400 萬美元被竊 + 引發 5.7 億美元銀行擠兌。
- Compound(2020 年 11 月):10 萬美元訂單簿操縱,8,900 萬美元清算。
- Mango(2022 年 10 月):初始資本 500 萬美元,提領 1.17 億美元。
- 2025 年 10 月:現貨拋售 6,000 萬美元,銷毀 193 億美元。
其發展過程顯而易見:隨著系統規模線性成長,損害呈指數級增長。操縱成本保持相對恆定(由可操縱場所的流動性決定),但可提取價值會隨著系統總槓桿率的增長而增長。
2025年10月提供了前所未有的規模的實證驗證。該定理成立。
系統性影響:尚未學習的教訓
這不僅僅是一個平台的失敗——它暴露了整個行業的漏洞,儘管經過了五年昂貴的教育,這些漏洞仍然存在:
1. 過度依賴現貨價格
儘管自 2020 年以來的每次重大攻擊都利用了這個漏洞,但大多數平台仍然採用以現貨為主的預言機設計。業內人士都知道現貨價格容易被操縱。業內人士也知道時間加權平均價格 (TWAP) 和多源預言機能夠提供更好的保護。然而,這些預言機的實施仍未完成。
為什麼?速度和靈敏度本來就是功能,直到它們變成漏洞。即時價格更新感覺更準確——直到有人操縱它們。
2. 集中度風險
主流交易所會造成單點故障。 bZx 依賴 Uniswap、Compound 依賴 Coinbase,以及 2025 年 10 月平台依賴自身訂單簿時,都是如此。交易所變了,漏洞卻沒變。
當一家交易所擁有交易量優勢時,將其作為主要的預言機來源似乎是合理的。但價格資訊流的集中度風險與任何系統中的集中度風險一樣:除非有人利用它,否則它不會有問題。
3. 基礎設施假設
為正常市場設計的系統在壓力之下會災難性地失效。 Harvest Finance 在 2020 年證明了這一點。 2025 年 10 月的事件證明,我們仍然在為正常情況進行設計,並希望壓力永遠不會發生。
希望不是策略。
4.透明度悖論
宣布改進措施會創造攻擊視窗。預言機改進措施從宣佈到實施的八天間隔,為經驗豐富的攻擊者提供了路線圖和時間表。他們確切地知道何時發動攻擊以及要利用哪些漏洞。
這是老問題的新故障模式。先前的預言機攻擊利用了現有的漏洞。 2025 年 10 月的攻擊利用了預言機方法之間的轉換——這個漏洞之所以存在,是因為改進措施在實施之前就已經公佈。
前進的道路:這次真正學習
立即改進
1. 混合預言機設計將多個價格來源與實際有效的健全性檢查結合:
- CEX 價格(以交易量加權)
- DEX 價格(僅來自高流動性池)
- 鏈上儲備證明
- 跨交易所偏差限制
每個資料來源都應該獨立。如果操作一個資料來源會影響另一個資料來源,則不存在冗餘。
2. 動態加權依市場狀況調整預言機敏感度:
- 正常波動:標準權重
- 高波動性:增加TWAP窗口,降低現貨影響
- 極端措施:暫停清算,進行調查後再採取行動
Compound 攻擊表明,有時一家交易所的「正確」價格對整個市場而言是錯誤的。你的預言機應該要夠智能,能夠辨識這一點。
3. 熔斷機制:在價格劇烈波動時暫停清算-並非為了阻止合法的去槓桿,而是為了區分操縱和市場現實:
- 如果價格在幾分鐘內跨場館趨於一致:很可能是真實的
- 如果價格仍然局限於一個地點:可能存在操縱
- 若基礎設施超載:暫停至容量恢復
目標並非阻止所有清算,而是防止因操縱價格而引發的連鎖清算。
4. 基礎設施擴展設計為正常容量的 100 倍,因為這是級聯產生的:
- 獨立的價格資訊基礎設施
- 獨立清算引擎
- 單一位址的速率限制
- 優雅降級協議
如果您的系統在級聯期間無法處理負載,它將放大級聯。這是設計要求,而不是最佳化。
長期解決方案
1. 去中心化預言機網路轉向成熟的預言機解決方案,例如 Chainlink、Pyth 或 UMA,這些解決方案可以跨資料來源聚合數據,並內建防操縱功能。這些方案並非完美無缺,但總比每 18 個月就會被利用一次的、依賴於現貨的預言機要好。
bZx 在 2020 年遭受攻擊後整合了 Chainlink。他們不再受到透過預言機操縱的攻擊。這並非巧合。
2. 儲備證明整合:對於包裝資產和穩定幣,應在鏈上驗證抵押品價值。 USDe 的定價應基於可驗證的儲備,而非訂單簿動態。該技術已存在,但實施仍有滯後。
3. 逐步清算透過分階段清算防止連鎖反應放大:
- 第一個門檻:警告和增加抵押品的時間
- 第二個門檻:部分清算(25%)
- 第三個門檻:更大規模的清算(50%)
- 最終門檻:徹底清算
這讓使用者有時間做出反應,並減少大規模同時清算對系統造成的衝擊。
4. 即時審計監控 Oracle 操縱行為:
- 跨交易所價格偏差
- 低流動性貨幣對交易量異常
- 在預言機更新之前部位規模快速增加
- 針對已知攻擊特徵的模式匹配
2025年10月的攻擊事件可能已經發出了警訊。有人在凌晨5:43拋售了6000萬美元的USDe,應該會觸發警報。如果你的監控沒有發現,表示你的監控不夠充分。
結論:190億美元的提醒
10月10日至11日的清算連鎖反應並非由過度槓桿或市場恐慌造成,而是預言機的大規模設計缺陷。由於價格資訊系統無法區分操縱和合法的價格發現,原本6000萬美元的市場行為被放大為190億美元的損失。
但這並不是一種新的故障模式。它與 2020 年 2 月摧毀 bZx、2020 年 10 月摧毀 Harvest、2020 年 11 月摧毀 Compound 以及 2022 年 10 月摧毀 Mango 的故障模式相同。
業界已經五次領受了這樣的教訓,而且代價越來越大:
- 2020 年:學習個別協議並實施修復
- 2022年:監理機關吸取教訓,開始執法
- 2025年:整個市場學習,支付193億美元的學費
現在唯一的問題是我們是否最終記住了這個教訓。
每個處理槓桿部位的平台現在都必須問:
- 我們的預言機在 2020 年至 2022 年期間是否能夠抵禦已知的攻擊媒介?
- 我們的基礎設施能否處理我們已經目睹的級聯場景?
- 我們是否適當地平衡了敏感度和穩定性?
- 我們是否正在重複讓整個產業損失數億美元的錯誤?
因為正如五年的歷史所證明的那樣,預言機操縱並不是一個假設的風險或邊緣案例——而是一種有記錄的、重複的、有利可圖的攻擊策略,並且可以隨著市場規模的擴大而擴大。
2025年10月的事件表明,如果機構層級不吸取這些教訓,後果將不堪設想。這次攻擊既不複雜,也不新穎。它只不過是利用已知的漏洞窗口,針對一個更大的系統,使用了同樣的伎倆。
預言機是基礎。一旦它崩塌,其上的一切都會崩塌。我們從2020年2月就明白了這一點。我們花了數十億美元來反覆學習它。唯一的問題是,2025年10月的代價是否足以讓我們最終根據已知的事實採取行動。
在現代互聯市場中,預言機的設計不僅關乎資料饋送,更關乎系統穩定性。一旦出錯,6000萬美元就可能毀掉190億美元。
反覆犯錯,就不會從歷史中學到教訓。重複犯錯只會讓你付出更大的代價。
分析基於公開市場數據、平台聲明以及五年來的預言機操縱案例研究。詳情請閱讀免責聲明。
