Пояснення оракулів блокчейну: інфраструктура, без якої DeFi не може існувати
У жовтні 2022 року трейдер на ім'я Аврам Айзенберг зайшов на Mango Markets з планом. Він відкрив два рахунки, використав один для зняття величезних позицій у безстрокових ф'ючерсах MNGO, а інший – для підвищення спотової ціни MNGO на умовах обмеженої ліквідності. Оракул, який передавав дані про ціни на Mango Markets, інтерпретував маніпульовану ціну як реальну. Айзенберг позичив 117 мільйонів доларів під завищену заставу. Він пішов з грошима. Протокол був вичерпаний.
Ось у чому проблема оракула, якщо коротко. Смарт-контракт настільки ж хороший, як і дані, які він отримує. Введіть йому неправильне число, і він виконає абсолютно неправильні інструкції. Маніпуляції з Oracle коштували DeFi-проектам понад 400 мільйонів доларів лише у 2022 році. OWASP ставить маніпуляції з ціновим оракулом на друге місце серед вразливостей смарт-контрактів у 2025 році.
У цій статті пояснюється, що таке блокчейн-оракули, чому вони так важливі для безпеки DeFi, як працюють основні мережі оракулів і що відрізняє протоколи, які експлуатуються, від тих, які ні.
Що таке блокчейн-оракул?
Блокчейни – це обгороджені сади. Вони бачать дані в мережі і нічого більше. Розумний контракт на Ethereum не має жодного уявлення, за що торгується ETH на Coinbase. Він не може перевірити, чи йшов дощ у Токіо. Він не може закрити S&P 500 порівняно з учорашнім. Сам по собі розумний контракт не бачить реального світу.
Оракули вирішують це. Вони збирають реальні дані, перепаковують їх для блокчейну та передають смарт-контрактам. Ціни, погода, спортивні результати, процентні ставки – все, що існує поза блокчейном, але потребує керувати логікою в блокчейні.
Це звучить просто, але це найважливіша частина інфраструктури в DeFi. Коли ви позичаєте на Aave, протоколу потрібно знати ціну вашого забезпечення. Ця ціна надходить від оракула. Коли ви торгуєте безстроковими ф'ючерсами на GMX, ціна виконання надходить від оракула. Коли протокол стейблкоїна вирішує, чи ліквідувати позицію, тригером є цінова подача оракула. Тільки Chainlink забезпечує понад 93 мільярди доларів загальної вартості за протоколами DeFi та забезпечив понад 27 трильйонів доларів сукупної вартості транзакцій.
Якщо оракул неправильний, то й протокол неправильний. І на відміну від помилки в коді програми, поганий канал оракула може виснажити весь протокол одним блочним потоком.
Проблема оракула: чому це складно
Ось у чому полягає суть проблеми. Ви створили децентралізований протокол. Жодна окрема організація його не контролює. Потім ви підключаєте один API з однієї біржі для отримання цінових даних. Вітаємо, ви щойно зробили цей API єдиною точкою відмови для всієї вашої системи.
Ось у чому проблема оракула. Один централізований оракул зламали? Ваш протокол втратив усе. Один API вийшов з ладу? Позиції неможливо ліквідувати. Один постачальник даних отримав хабар? Цифри брешуть, а смарт-контракт діє на основі брехні.
Децентралізовані мережі оракулів існують саме через це. Chainlink керує кількома незалежними вузлами, кожен з яких отримує дані з кількох джерел. Вони узгоджують кількість, перш ніж опублікувати її в блокчейні. Хочете маніпулювати стрічкою даних Chainlink? Вам доведеться скомпрометувати більшість вузлів одночасно. Набагато складніше, ніж підробити один API.
Загвоздка у вартості. Ведення децентралізованої мережі Oracle є дорогим. Комісії за передачу даних у блокчейн накопичуються. Деякі протоколи обходяться дешево, вибирають один пул DEX як джерело ціни та потрапляють на rekt.news через три місяці.
Як насправді працюють атаки оракулів
Другий за поширеністю вектор атаки DeFi. 403 мільйони доларів втрачено у 2022 році. 52 мільйони доларів у 2024 році. Близько 70 мільйонів доларів у 2025 році. Схема дій майже не змінюється.
Зловмисник отримує миттєвий кредит. Мільйони в криптовалюті, без застави, погашені в тому ж блоці. Бере цей позиковий капітал і скидає його в пул DEX, якому якийсь протокол довіряє для отримання цінових даних. Цінові сплески. Oracle інтерпретує сплеск як реальний.
Тепер зловмисник переходить до цільового протоколу. Позичає під завищене забезпечення. Або ініціює ліквідацію позицій інших людей. Або ж карбує токени за фальшивою ціною. Як би не спрацював експлойт, оракул є точкою входу.
Останній крок: погасіть миттєвий кредит. Різниця вийде. Одна транзакція. Один блок. Зроблено, перш ніж хтось помітить.
Атака на Mango Markets була найвідомішою, але не унікальною. Inverse Finance втратила 15,6 мільйона доларів через маніпуляції з оракулом TWAP. KiloEx втратила 7 мільйонів доларів у квітні 2025 року. Yellow Protocol втратила 2,4 мільйона доларів, оскільки покладалася на єдиний пул DEX для отримання цінових даних. Дослідник безпеки прямо сказав: будь-який протокол, який використовує єдиний пул ліквідності як свій ціновий оракул, «з ймовірністю 99,9% буде зловмисником».
| Атака на Oracle | Дата | Втрата | Що пішло не так |
|---|---|---|---|
| Манго Маркетс | Жовтень 2022 року | 117 мільйонів доларів | Єдине джерело оракула, маніпулювання пулом тонкої ліквідності |
| Зворотні фінанси | 2022 рік | 15,6 млн доларів США | TWAP-оракул на низьколіквідній парі, випередження |
| Сяючий капітал | Січень 2024 року | 4,5 млн доларів США | Округлення флеш-кредиту, що використовується в коді Compound/Aave |
| КілоЕкс | Квітень 2025 року | 7 мільйонів доларів | Маніпуляція оракулом з миттєвими кредитами |
| Жовтий протокол | Квітень 2025 року | 2,4 млн доларів США | Один пул DEX використовується як джерело ціни |
Chainlink проти Pyth проти RedStone: ландшафт оракула
Три мережі оракулів мають значення у 2026 році. Кожна з них використовує різний підхід.
Chainlink є чинним гравцем. Забезпечено 63-70% частки ринку за загальною вартістю. Понад 1659 цінових потоків у 29 блокчейнах. 2100 інтеграцій проектів. Він запускає мережі оракулів на основі push-повідомлень, де вузли проактивно оновлюють дані в блокчейні за розкладом або коли ціни перевищують встановлений поріг. Підхід Chainlink надає пріоритет безпеці та децентралізації. Кілька вузлів, кілька джерел даних, консенсус перед доставкою. Компроміс полягає в швидкості та вартості: постійне передавання даних у блокчейн вимагає ресурсів.
Chainlink також створив CCIP (Cross-Chain Interoperability Protocol), який обробив 18 мільярдів доларів за один місяць у березні 2026 року. Coinbase використовує CCIP як свій ексклюзивний міст для 7 мільярдів доларів у захищених активах. Lido, Maple Finance та Stellar прийняли його. CCIP перетворює Chainlink з простого постачальника цінових потоків на крос-чейн-інфраструктуру.
Мережа Pyth виникла з екосистеми Solana та працює по-іншому. Вона базується на методі pull: дані залишаються поза блокчейном, доки користувач або протокол не запитує їх, а потім вони публікуються в блокчейні в момент використання. Це дешевше та швидше. Pyth отримує свої дані безпосередньо з перших джерел, тобто біржі та торгові фірми публікують власні ціни, а не покладаються на сторонні скрепери. 2828 цінових потоків у 113 блокчейнах. 48% обсягу торгів на DEX на базі Oracle у світі проходить через Pyth. Міністерство торгівлі США навіть запустило пілотний проект з використанням Pyth для розповсюдження даних про федеральний ВВП.
RedStone — найшвидше зростаючий новачок. Загальна вартість забезпечених коштів перевищує 10 мільярдів доларів. Більше 110 блокчейнів, 140 DeFi-проектів. RedStone спеціалізується на прибутковому забезпеченні: ліквідні токени для стейкингу, ліквідні токени для рестейкінгу та BTC LST. Під час ліквідації DeFi вартістю 2 мільярди доларів у лютому 2024 року RedStone здійснив 119 000 оновлень цін за 24 години та надав оновлення ETH/USDC на 30% швидше, ніж Chainlink. Це єдиний оракул, який пропонує як моделі push, так і pull у блокчейнах.
| Оракул | ТВС | Цінові стрічки | Ланцюги | Модель | Спеціальність |
|---|---|---|---|---|---|
| Ланцюгова ланка | 93-95 млрд доларів США | 1659 | 60+ | Надіслати (за розкладом) | Інституційне впровадження, крос-чейн CCIP |
| Піф | 5,5–6,1 млрд доларів США | 2 828 | 113 | Витягнути (на вимогу) | Дані біржі власної партії, лідер обсягу DEX |
| Редстоун | понад 10 млрд доларів США | Сотні | 110+ | Натисніть + Потягніть | Дохідне забезпечення, найшвидші оновлення |
| API3 | <3% частки | Обмежена | Кілька | Перша сторона (Airnode) | Без проміжних вузлів |
| Протокол діапазону | Малий | Обмежена | Кілька | Натисніть | Cosmos-native, перехід на штучний інтелект та дані |
Типи оракулів блокчейну
Оракули — це не одне й те саме. Різні завдання, різні конструкції.
Цінові стрічки – це хліб насущний. Кожен протокол кредитування, кожна безстрокова біржа, кожен механізм стейблкоїнів працює на цінових даних. Aave має знати вартість вашого забезпечення. GMX потребує цін виконання. MakerDAO має знати, коли ліквідувати. Неправильна ціна – неправильний результат. Щоразу.
Міжланцюгові оракули роблять більше, ніж просто передають числа. Вони надсилають повідомлення між блокчейнами. Chainlink CCIP обробляє мільярди міжланцюгових переказів. Замість того, щоб довіряти невеликому мосту-мультипідпису, мережа оракулів сама перевіряє кожне повідомлення. 18 мільярдів доларів за один місяць через CCIP у березні 2026 року.
Обчислювальні оракули обробляють числа поза блокчейном та публікують результати. Перевірена випадковість для NFT-дропів та ігор. Автоматизоване виконання контрактів на основі часових тригерів або подій у блокчейні. Агрегація даних з десятків джерел в одне чисте число.
Апаратні оракули з'єднують фізичний світ. Датчики температури для страхування врожаю. Дані GPS для договорів доставки. Показники Інтернету речей для всього, що відбувається в м'ясному просторі.
Людські оракули – це ручний резервний варіант. Деякі дані неможливо перевірити машинно: судові рішення, суб'єктивні результати подій. Ринки прогнозування використовують людський консенсус для вирішення ставок.
