Объяснение принципа работы блокчейн-оракулов: инфраструктура, без которой не может существовать DeFi.
В октябре 2022 года трейдер по имени Авраам Эйзенберг пришел на Mango Markets с планом. Он открыл два счета: один использовал для открытия крупных позиций по бессрочным фьючерсам MNGO, а другой — для искусственного завышения спотовой цены MNGO на фоне ограниченной ликвидности. Оракул, передавший данные о ценах на Mango Markets, интерпретировал манипулированную цену как реальную. Эйзенберг взял в долг 117 миллионов долларов под залог завышенной цены. Он скрылся с деньгами. Протокол был опустошен.
В этом и заключается суть проблемы с оракулами. Качество смарт-контракта зависит от качества получаемых данных. Если передать ему неверное число, он выполнит совершенно неверные инструкции. Манипуляции с оракулами обошлись проектам DeFi более чем в 400 миллионов долларов только в 2022 году. OWASP ставит манипуляции с ценовыми оракулами на второе место среди уязвимостей смарт-контрактов в 2025 году.
В этой статье объясняется, что такое блокчейн-оракулы, почему они так важны для безопасности DeFi, как работают основные сети оракулов и чем отличаются протоколы, которые подвергаются атакам, от тех, которые не подвергаются.
Что такое блокчейн-оракул?
Блокчейны — это закрытые экосистемы. Они видят только данные, хранящиеся в блокчейне, и ничего больше. Смарт-контракт на Ethereum понятия не имеет, по какой цене торгуется ETH на Coinbase. Он не может проверить, шел ли дождь в Токио. Он не может приблизить индекс S&P 500 к вчерашнему уровню. Сам по себе смарт-контракт слеп к реальному миру.
Оракулы решают эту проблему. Они берут данные из реального мира, переупаковывают их для блокчейна и передают смарт-контрактам. Цены, погода, спортивные результаты, процентные ставки — всё, что хранится вне блокчейна, но должно управлять логикой в блокчейне.
Это звучит просто, но это важнейший элемент инфраструктуры в DeFi. Когда вы берете кредит на Aave, протоколу необходимо знать цену вашего залога. Эта цена поступает от оракула. Когда вы торгуете бессрочными фьючерсами на GMX, цена исполнения также поступает от оракула. Когда протокол стейблкоинов решает, ликвидировать ли позицию, триггером является ценовой поток от оракула. Только Chainlink обеспечивает защиту активов на сумму более 93 миллиардов долларов в рамках протоколов DeFi и позволил осуществить транзакции на сумму более 27 триллионов долларов.
Если оракул ошибается, то и протокол неверен. И в отличие от ошибки в коде приложения, некорректный поток данных от оракула может привести к истощению всего протокола за один блок.
Проблема оракула: почему это сложно.
Вот в чём основная проблема. Вы создали децентрализованный протокол. Ни одна организация его не контролирует. Затем вы подключаете один API с одной биржи для получения данных о ценах. Поздравляем, вы только что сделали этот API единственной точкой отказа для всей вашей системы.
В этом и заключается проблема оракула. Взломали один централизованный оракул? Ваш протокол теряет всё. Выходит из строя один API? Позиции невозможно ликвидировать. Подкупили одного поставщика данных? Цифры лгут, и смарт-контракт действует на основе лжи.
Децентрализованные сети оракулов существуют именно по этой причине. Chainlink управляет множеством независимых узлов, каждый из которых получает данные из нескольких источников. Они согласовывают количество данных перед их публикацией в блокчейне. Хотите манипулировать потоком данных Chainlink? Вам придется скомпрометировать большинство узлов одновременно. Это гораздо сложнее, чем подмена одного API.
Проблема в стоимости. Поддержание децентрализованной сети оракулов обходится дорого. Комиссии за газ при передаче данных в блокчейн накапливаются. Некоторые протоколы экономят, выбирают один-единственный пул DEX в качестве источника ценообразования и через три месяца оказываются на rekt.news.
Как на самом деле работают атаки оракулов
Второй по распространенности вектор атак на DeFi. 403 миллиона долларов убытков в 2022 году, 52 миллиона долларов в 2024 году и около 70 миллионов долларов в 2025 году. Тактика практически не меняется.
Злоумышленник берет мгновенный кредит. Миллионы в криптовалюте, нулевое обеспечение, погашение в том же блоке. Берет заемный капитал и вкладывает его в пул децентрализованной биржи (DEX), которому доверяет какой-то протокол в плане ценовых данных. Цена резко возрастает. Oracle интерпретирует этот скачок как реальный.
Теперь злоумышленник обращается к целевому протоколу. Занимает средства под завышенное обеспечение. Или инициирует ликвидации позиций других лиц. Или выпускает токены по фиктивной цене. Каким бы способом ни работала эксплойт-система, оракул является точкой входа.
Последний шаг: погасить мгновенный кредит. Получить разницу. Одна транзакция. Один блок. Сделано до того, как кто-либо заметит.
Атака на Mango Markets была самой известной, но не уникальной. Inverse Finance потеряла 15,6 млн долларов из-за манипуляций с оракулом TWAP. KiloEx потеряла 7 млн долларов в апреле 2025 года. Yellow Protocol потеряла 2,4 млн долларов, потому что полагалась на один пул DEX для получения данных о ценах. Один исследователь безопасности прямо заявил: любой протокол, использующий один пул ликвидности в качестве оракула цен, «с вероятностью 99,9% будет использован злоумышленниками».
| атака Оракула | Дата | Потеря | Что пошло не так? |
|---|---|---|---|
| Манговые рынки | Октябрь 2022 г. | 117 миллионов долларов | Источник информации от одного оракула, манипулирование пулом с низкой ликвидностью. |
| Обратные финансы | 2022 | 15,6 млн долларов США | Оракул TWAP для валютной пары с низкой ликвидностью, опережающий рынок. |
| Сияющая столица | Январь 2024 г. | 4,5 млн долларов | Использование алгоритма округления в коде Compound/Aave для выдачи мгновенных займов |
| КилоЭкс | Апрель 2025 г. | 7 миллионов долларов | манипуляции с оракулом мгновенных займов |
| Желтый протокол | Апрель 2025 г. | 2,4 млн долларов | В качестве источника цен используется один пул DEX. |
Chainlink против Python против RedStone: ландшафт оракулов
В 2026 году три сети оракулов будут иметь важное значение. Каждая из них использует свой подход.
Chainlink — лидер рынка. Доля рынка по общей обеспеченной стоимости составляет 63-70%. Более 1659 источников данных о ценах в 29 блокчейнах. 2100 интеграций с проектами. Он использует сети оракулов с функцией «push», где узлы заблаговременно обновляют данные в блокчейне по расписанию или при изменении цен на заданный порог. Подход Chainlink ставит во главу угла безопасность и децентрализацию. Множество узлов, множество источников данных, консенсус перед доставкой. Компромисс заключается в скорости и стоимости: постоянная передача данных в блокчейн требует газа.
Chainlink также разработал протокол CCIP (Cross-Chain Interoperability Protocol), который обработал транзакции на сумму 18 миллиардов долларов за один месяц в марте 2026 года. Coinbase использует CCIP в качестве эксклюзивного моста для обработки 7 миллиардов долларов в обернутых активах. Lido, Maple Finance и Stellar также внедрили его. CCIP превращает Chainlink из простого поставщика ценовых данных в кроссчейн-инфраструктуру.
Сеть Pyth Network возникла из экосистемы Solana и работает по-другому. Она основана на принципе «запроса»: данные хранятся вне блокчейна до тех пор, пока пользователь или протокол не запросит их, после чего они публикуются в блокчейне в момент использования. Это дешевле и быстрее. Pyth получает данные напрямую из собственных источников, то есть биржи и торговые компании публикуют свои собственные цены, а не полагаются на сторонних скрейперов. 2828 потоков цен из 113 блокчейнов. 48% мирового объема торгов на децентрализованных биржах (DEX) на базе оракулов проходит через Pyth. Министерство торговли США даже провело пилотный проект по использованию Pyth для распространения федеральных данных по ВВП.
RedStone — самый быстрорастущий новичок на рынке. Общая стоимость обеспеченных активов превышает 10 миллиардов долларов. Более 110 блокчейнов, 140 DeFi-проектов. RedStone специализируется на обеспечении доходности: ликвидных токенах для стейкинга, ликвидных токенах для рестейкинга и BTC LST. Во время ликвидации DeFi-проекта на сумму 2 миллиарда долларов в феврале 2024 года RedStone отправил 119 000 обновлений цен за 24 часа и предоставил обновления ETH/USDC на 30% быстрее, чем Chainlink. Это единственный оракул, предлагающий как модель «push», так и модель «pull» (запрос на обновление) для разных блокчейнов.
| Оракул | ТВС | Ценовые потоки | Цепи | Модель | Специализация |
|---|---|---|---|---|---|
| Chainlink | 93-95 млрд долларов | 1659 | 60+ | Push (запланировано) | Внедрение в институциональную среду, кроссчейн CCIP |
| Пиф | 5,5-6,1 млрд долларов США | 2,828 | 113 | Выполнение заказа (по запросу) | Данные биржи от первого лица, лидер по объему торгов на DEX. |
| Редстоун | 10 млрд долларов и более | Сотни | 110+ | Толкать + Тянуть | Облигации с гарантированным доходом, самые оперативные обновления. |
| API3 | <3% доля | Ограниченный | Несколько | Собственная разработка (Airnode) | Нет промежуточных узлов |
| Протокол полосы | Маленький | Ограниченный | Несколько | Толкать | Компания Cosmos-native, переориентирующаяся на использование ИИ и данных. |
Типы блокчейн-оракулов
Оракулы — это нечто не одно. Разные профессии, разные предназначения.
Ценовые потоки — это основа всего. Каждый протокол кредитования, каждая бессрочная биржа, каждый механизм стейблкоинов работает на основе ценовых данных. Aave необходимо знать стоимость вашего залога. GMX нужны цены исполнения. MakerDAO необходимо знать, когда ликвидировать актив. Неправильная цена — неправильный результат. Каждый раз.
Кроссчейн-оракулы делают больше, чем просто передают числа. Они отправляют сообщения между блокчейнами. Chainlink CCIP обрабатывает миллиарды долларов в кроссчейн-переводах. Вместо того чтобы доверять небольшой мостовой мультиподписи, сеть оракулов сама проверяет каждое сообщение. 18 миллиардов долларов за один месяц через CCIP в марте 2026 года.
Оракулы вычисляют числа вне блокчейна и публикуют результаты. Проверяемая случайность для раздачи NFT и игр. Автоматическое исполнение контрактов на основе временных триггеров или событий в блокчейне. Агрегация данных из десятков источников в одно чистое число.
Аппаратные оракулы соединяют физический мир. Датчики температуры для страхования урожая. Данные GPS для договоров на доставку. Показания IoT для всего, что происходит в реальном мире.
Человеческие оракулы — это запасной вариант, требующий ручной проверки. Некоторые данные невозможно проверить машинным способом: юридические решения, субъективные результаты событий. На рынках прогнозов для разрешения пари используется человеческий консенсус.
