黑天鵝重演：預言機漏洞的五年輪迴

一場 6000 萬美元的市場拋售導致 193 億美元市值蒸發。

撰文：YQ

編譯整理：Saoirse，Foresight News

（原文內容有所調整和刪減）

2025 年 10 月 10 日至 11 日，一場 6000 萬美元的市場拋售導致 193 億美元市值蒸發。這並非源於市場崩盤，也不是由於合法受損頭寸引發的連環追加保證金通知，而是因為預言機故障。

這並非新鮮事。自 2020 年 2 月以來，同樣的攻擊模式已被成功利用，在數十起事件中給該行業造成了數億美元的損失。2025 年 10 月的這次攻擊，其規模是以往最大預言機攻擊的 160 倍 —— 這並非因為技術更為複雜，而是由於基礎系統在擴大規模的同時，保留了相同的根本性漏洞。

五年的慘痛教訓，卻被忽視了。本分析將探討其中的原因。

2020-2022：預言機攻擊的「固定劇本」

在剖析 2025 年 10 月的事件前，必須明確一點：類似的情況早有先例。

2020 年 2 月：bZx 事件（損失 35 萬美元 + 63 萬美元）

採用單一來源預言機，攻擊者通過閃電貸操縱 Uniswap 平台上 WBTC 的價格，轉移了該代幣總供應量 14.6% 的資金，以此操縱 bZx 平台完全依賴的價格饋送數據。

2020 年 10 月：Harvest Finance 事件（2400 萬美元被盜，引發 5.7 億美元擠兌）

僅用 7 分鐘，攻擊者通過 5000 萬美元閃電貸操縱 Curve 平台穩定幣價格，不僅導致資金被盜，更引發基礎設施崩潰與流動性撤離，其影響規模遠超初始盜竊金額。

2020 年 11 月：Compound 事件（8900 萬美元資產被清算）

DAI 穩定幣在 Coinbase Pro 平台上飆升至 1.30 美元，而其他平台均未出現這一情況。由於 Compound 的預言機以 Coinbase 為定價基準，用戶因這一平台僅 1 小時內的異常價格被強制清算。當時僅需 10 萬美元，就能操縱深度為 30 萬美元的訂單簿。

2022 年 10 月：Mango Markets 事件（損失 1.17 億美元）

攻擊者以 500 萬美元初始資金，在多個平台將 MNGO 代幣價格拉高 2394%，隨後以被高估的抵押品借入 1.17 億美元，並利用被盜的治理代幣為自己投票，騙取 4700 萬美元「漏洞賞金」。這是美國商品期貨交易委員會（CFTC）首次針對預言機操縱行為採取執法行動。

所有攻擊均遵循同一套流程：

1. 識別預言機對「可操縱數據源」的依賴；
2. 計算驗證：操縱成本＜可提取價值；
3. 執行操縱；
4. 獲利離場。

2020-2022 年間，41 起預言機操縱攻擊共導致 4.032 億美元資金被盜。而行業的應對卻分散、遲緩且不徹底 —— 大多數平台仍在使用以現貨價格為主、冗餘度不足的預言機。

隨後，2025 年 10 月的災難降臨了。

「10.11」漏洞剖析

2025 年 10 月 10 日凌晨 5 點 43 分，6000 萬美元 USDe 集中拋售觸發致命連鎖反應：

6000 萬美元現貨拋售→預言機調低抵押品（wBETH、BNSOL、USDe）估值→大規模強制清算→基礎設施過載→流動性真空→193 億美元市值蒸發

這並非單一平台的失敗，而是暴露了全行業長期存在的漏洞 —— 即便五年來付出了高昂代價，這些漏洞仍未被修復：

1、過度依賴現貨價格

儘管 2020 年以來的每起重大攻擊都利用了「現貨價格可操縱」這一漏洞，但大多數平台仍在使用以現貨為主的預言機設計。行業明知現貨價格存在操縱風險，也明知「時間加權平均價格（TWAP）」和「多源預言機」能提供更好保護，卻始終未能徹底落地這些方案。

根源在於：「速度與敏感性」在成為漏洞前，都被視為優勢。即時價格更新看似更精確 —— 直到有人對其動手腳。

2、集中化風險

主導性交易平台會造成「單點故障」：bZx 依賴 Uniswap、Compound 依賴 Coinbase、2025 年 1、2025 年 10 月的平台依賴自身訂單簿，本質上都是同一問題 —— 平台在變，但漏洞始終存在。

當某一交易所佔據交易量主導地位時，將其作為預言機主要數據源看似合理。但價格饋送中的集中化風險，與所有系統中的集中化風險一致：在被利用前，一切看似正常。

3、基礎設施假設偏差

為「正常市場」設計的系統，在壓力下會遭遇災難性失敗。Harvest Finance 在 2020 年已證明這一點，但 2025 年 10 月的事件表明，行業仍在「按正常情況設計系統，並寄望於壓力事件永不發生」。

而「寄望」絕非應對策略。

4、透明度悖論

公布技術改進方案，反而會製造攻擊窗口。預言機算法更新「公布後 8 天實施」的間隔，給了專業攻擊者明確的路線圖與時間表 —— 他們精確知道何時發動攻擊、該利用哪個漏洞。

這是「老問題的新失效模式」：以往攻擊利用「已存在的漏洞」，而 2025 年 10 月的攻擊利用的是「預言機算法切換的過渡期」—— 這個漏洞的存在，僅僅因為改進方案被提前公布。

破局之道

即時改進措施

1、混合預言機設計

整合多個價格來源，並加入切實有效的合理性校驗：

• 中心化交易所（CEX）價格（跨平台交易量加權，佔比 40%）；
• 去中心化交易所（DEX）價格（僅選取高流動性資金池，佔比 30%）；
• 鏈上儲備證明（佔比 20%）；
• 封裝資產的轉換比率（佔比 10%）。

關鍵在於「數據源獨立性」：若用合理成本就能同時操縱所有數據源，那麼「多源」本質上仍是「單源」。

2、動態權重調整

根據市場狀況調整預言機敏感性：

• 正常波動期：使用標準權重；
• 高波動期：延長時間加權平均價格（TWAP）計算窗口，降低現貨價格影響；
• 極端波動期：觸發熔斷機制，啟動合理性校驗。

2020 年 Compound 事件已證明：有時某一交易所的「正確價格」，對整個市場而言卻是錯誤的。預言機需要具備識別這種偏差的智能。

3、熔斷機制

在極端價格波動時暫停清算 —— 目的不是阻止「合理去槓桿」，而是區分「操縱行為」與「市場真實情況」：

• 若多平台價格在數分鐘內趨同：大概率為真實市場波動；
• 若價格僅在單一平台異常：大概率為操縱；
• 若基礎設施過載：暫停清算，直至容量恢復。

核心目標不是「禁止所有清算」，而是「避免因操縱價格引發的連鎖清算」。

4、基礎設施擴容

按「正常容量 100 倍」設計系統 —— 因為連鎖反應會產生指數級負載：

• 為價格饋送搭建獨立基礎設施；
• 部署獨立清算引擎；
• 對單個地址設置請求速率限制；
• 制定「平穩降級」協議（負載過高時優先保障核心功能）。

若系統無法承受連鎖反應的負載，反而會加劇災難。這是設計剛需，而非優化選項。

長期解決方案

1、去中心化預言機網絡

採用成熟的預言機方案（如 Chainlink、Pyth、UMA），這類方案通過跨數據源聚合實現內建抗操縱能力。它們並非完美，但遠優於「每 18 個月就被攻擊一次」的現貨依賴型預言機。

bZx 在 2020 年攻擊後接入 Chainlink，此後便未再遭遇預言機操縱攻擊 —— 這絕非巧合。

2、儲備證明整合

對封裝資產和穩定幣，需在鏈上驗證抵押品價值。例如 USDe 的定價，應基於「可驗證的儲備金」，而非「訂單簿動態」。相關技術已存在，滯後的只是落地進度。

3、漸進式清算

通過分階段清算避免連鎖反應擴大：

• 第一閾值：發出預警，給予用戶追加抵押品的時間；
• 第二閾值：部分清算（25%）；
• 第三閾值：較大規模清算（50%）；
• 最終閾值：完全清算。

這既能給用戶應對時間，也能降低「大規模同步清算」對系統的衝擊。

4、即時審計監控

對預言機操縱行為進行即時監控：

• 跨平台價格偏差；
• 低流動性交易對的異常交易量；
• 預言機更新前頭寸規模的快速增長；
• 與已知攻擊特徵的模式匹配。

2025 年 10 月的攻擊本應出現預警信號：凌晨 5 點 43 分拋售 6000 萬美元 USDe，這類異常交易必須觸發警報。若監控系統未能捕捉，說明其存在嚴重不足。

結論：190 億美元的警示

2025 年 10 月 10-11 日的連鎖清算，並非由「過度槓桿」或「市場恐慌」引發，而是「規模化的預言機設計失敗」。6000 萬美元的市場操作之所以演變成 193 億美元損失，核心在於價格饋送系統無法區分「操縱行為」與「合法價格發現」。

但這並非新問題 ——2020 年 2 月摧毀 bZx、2020 年 10 月摧毀 Harvest、2020 年 11 月摧毀 Compound、2022 年 10 月摧毀 Mango Markets 的，都是同一類故障。

五年來，行業五次吸取同一教訓，代價卻一次比一次高昂：

• 2020 年：個別協議吸取教訓，實施修復；
• 2022 年：監管機構介入，啟動執法；
• 2025 年：整個市場付出 193 億美元「學費」。

現在唯一的問題是：我們是否終於會記住這個教訓？

所有處理槓桿頭寸的平台，都必須直面以下問題：

• 我們的預言機能否抵禦 2020-2022 年已明確的攻擊向量？
• 我們的基礎設施能否應對已發生過的連鎖清算場景？
• 我們是否在「敏感性」與「穩定性」之間實現了合理平衡？
• 我們是否在重蹈那些曾導致行業損失數億美元的覆轍？

五年的歷史已證明：預言機操縱絕非「假設性風險」或「邊緣案例」，而是一種「有記錄、可重複、高獲利」的攻擊策略，其規模會隨市場增長同步擴大。

2025 年 10 月的事件表明，當這些教訓在機構級規模被忽視時，會引發何等災難。這次攻擊既不複雜，也不新穎 —— 只是同一套操作手法，在「已知漏洞窗口期」，針對更大規模的系統實施而已。

預言機是整個系統的基石。基石破裂，其上一切都會崩塌。自 2020 年 2 月起，我們就明白這一點，也已

花費了數十億美元反覆印證這一道理。現在唯一的問題是，2025 年 10 月這場代價慘重的事件，是否足以讓我們最終將已知的教訓轉化為行動。

在如今高度互聯的市場中，預言機設計絕非「數據饋送」那麼簡單 —— 它關乎整個系統的穩定性。設計一旦出錯，6000 萬美元就能摧毀 190 億美元的價值。

若仍反覆犯錯，並非是我們未能從歷史中學習，只是讓重複錯誤的代價變得越來越高昂。

本分析基於公開市場數據、平台聲明及五年間的預言機操縱案例研究。