Back to Blog

Функция мониторинга оракулов теперь доступна в BlockSec Phalcon!

Phalcon
May 26, 2025
4 min read

В октябре 2022 года Mango Markets потеряли 116 миллионов долларов из-за манипуляций с ценами оракулов.

В мае 2022 года Venus потеряли 11,2 миллиона долларов из-за задержки обновления цены оракулом.

В июле прошлого года Rho Markets потеряли 7,6 миллиона долларов после того, как обновление контракта привело к ошибочной установке цены оракулом.

Правда в том, что этих потерь можно было полностью избежать. Как? Читайте далее.

Оракулы: Жизненная опора DeFi-протоколов

Оракулы, которые подают данные в блокчейны, являются фундаментальной основой для таких сценариев использования DeFi, как кредитование и деривативы. Тем не менее, многие крупные проекты, включая Compound, Cream Finance, Mango Markets, Venus и Rho Markets, понесли значительные убытки из-за атак, связанных с оракулами.

Представьте, что вы вносите ETH на кредитную платформу, рассчитывая взять взаймы какой-либо актив, и вдруг обнаруживаете, что ваше обеспечение оценено более чем в 63 тысячи долларов! Вы могли бы подумать, что сорвали куш. Однако для команд протоколов это сценарий ночного кошмара. Это действительно произошло в прошлом году на Rho Markets.

Ценовые аномалии: Упущенный фатальный изъян

19 июля 2024 года Rho Markets обновила свои смарт-контракты для запуска нового рынка активов. Однако из-за неправильной конфигурации в скрипте развертывания цены BTC и ETH от оракула поменялись местами. В результате цена ETH была ошибочно завышена в 20 раз, что позволило пользователям занимать огромные суммы по минимальной стоимости — и в конечном итоге привело к убыткам в 7,6 миллиона долларов.

Ключевая хронология (UTC):

  • 1️⃣ 08:58:29 (Блок 7580110) — Оракул вернул нормальную цену ETH.

  • 2️⃣ 08:58:32 (Блок 7580111) — Контракт оракула был обновлен. Хэш транзакции: https://app.blocksec.com/explorer/tx/scroll/0x9d2388a0c449c6265b968d86f0f54e75a5b82e2b04176e35eefdff5f135547ec

  • 3️⃣ 08:58:34 (Блок 7580112) — Через один блок цена ETH, возвращаемая оракулом, подскочила с 3384 до 63 653 долларов (цена BTC была ошибочно применена к ETH), что в 17 раз превышает фактическую стоимость!

  • 4️⃣ 08:59:49 — Всего минуту спустя была предпринята первая атака: MEV-бот использовал 84 ETH в качестве обеспечения для займа 942 wstETH. Повторяя этот процесс, бот вывел 7,6 миллиона долларов. Хэш транзакции первой атаки: https://app.blocksec.com/explorer/tx/scroll/0x0a7b4c6542eb8f37de788c8848324c0ae002919148a4426903b0fb4149f88f05

  • 5️⃣ 10:33:01 — Уязвимые компоненты протокола были отключены, но было уже слишком поздно.

Если бы Rho Markets развернули мониторы оракулов Phalcon, как бы все сложилось иначе?

👉 👉 Phalcon мгновенно обнаружил бы аномальную цену и инициировал автоматическое аварийное реагирование, полностью перекрыв любую возможность для атаки.

Phalcon поддерживает мониторинг ценовых аномалий оракулов:

  • Отклонение цены: Отслеживает величину изменений цены оракула и помечает резкие скачки или падения (например, оповещение, если цена изменяется более чем на 200% между двумя выборками).

  • Диапазон цены: Устанавливает допустимые границы цены (например, оповещение, если цена выходит за пределы диапазона 2380–4380 долларов).

  • Несоответствие цены: Сравнивает цену базового оракула с ценой эталонного оракула (например, оповещение, если цены различаются более чем на 30%).

Обычно команда проекта тщательно проверяет критические конфигурации перед обновлением контрактов или изменением параметров. Однако в этом инциденте человеческий фактор привел к пропуску проверок цены оракула. Хотя в данном случае украденные активы были возвращены MEV-ботом, такая «удача» редко встречается в большинстве атак.

В действительности, настройка любого из вышеперечисленных мониторов позволила бы системе сразу же обнаружить аномальные значения оракула и оповестить команду через любой из семи поддерживаемых каналов уведомлений. Что еще важнее, ручное вмешательство часто бывает слишком медленным — время между аномалией и эксплойтом может быть крайне коротким (в данном случае всего одна минута). С Phalcon аварийные средства защиты срабатывают автоматически, поэтому у атак просто нет шансов произойти.

Задержки и сбои также могут быть смертельными

В мае 2022 года, когда цена $LUNA продолжала падать, сработал встроенный автоматический выключатель Chainlink, из-за чего обновления цены для $LUNA остановились на отметке 0,107 доллара. Протокол Venus не заметил этого вовремя и продолжил работать с устаревшей ценой. Четыре часа спустя — к моменту, когда команда отреагировала — фактическая цена упала до 0,01 доллара. В течение этого периода несколько адресов использовали $LUNA в качестве обеспечения для займа больших сумм активов, что привело к убытку протокола в размере около 11,2 миллиона долларов.

Если бы Venus развернули мониторы оракулов Phalcon, как бы все сложилось иначе?

👉 👉 Phalcon поддерживает мониторинг задержек обновления цен и проверку работоспособности оракулов, обеспечивая своевременную и надежную передачу данных о ценах. Если бы возникли какие-либо аномалии, команда была бы мгновенно оповещена.

Многие проекты полагаются на единственный оракул как на источник цен и не имеют механизмов защиты от ценовых аномалий. Когда что-то идет не так, злоумышленники получают прибыль, пользователей ликвидируют, а репутация проекта страдает.

Phalcon может отслеживать как пользовательские, так и сторонние оракулы (такие как Chainlink и Pyth), обеспечивая гарантию стабильности и точности цен в режиме реального времени, предотвращая риски ликвидации и манипулирования ценами.

Что такое BlockSec Phalcon?

Phalcon органично объединяет предотвращение угроз безопасности (Security APP) и управление рисками соответствия требованиям (Compliance APP), предлагая пользователям комплексное решение как для безопасности, так и для комплаенса.

Security APP (Приложение безопасности)

🔗 https://blocksec.com/phalcon/security

Обеспечивает комплексную защиту после запуска, включая:

  • Мониторинг атак в режиме реального времени
  • Мониторинг операционных, транзакционных, финансовых рисков и кастомных рисков
  • Динамическую защиту Safe{Wallet}
  • Гибкий мониторинг цен токенов, сумм, ключевых переменных, чувствительных событий и вызовов функций
  • Автоматическое аварийное реагирование (поддержка EOA и мультисиг-кошельков)

Compliance APP (Приложение для комплаенса)

🔗 https://blocksec.com/phalcon/compliance

Проверяет адреса и отслеживает транзакции в режиме реального времени, помогая VASP выявлять риски и подозрительную активность пользователей для соблюдения требований AML/CFT.

🔥 Попробуйте сейчас

BlockSec Phalcon сейчас поддерживает более 30 основных блокчейнов, включая Ethereum, BSC, Solana, Base, Tron, Arbitrum, Avalanche, Optimism, Manta, Merlin, Mantle, Sei, Bitlayer, Core, BoB, Story, Sonic, Gnosis и Berachain.

Закажите демо-версию продукта прямо сейчас! Нажмите здесь или перейдите по ссылке ниже. Начните всего за 10 секунд — первые 30 зарегистрировавшихся получат бесплатную пробную версию!

🔗 Заказать демо: https://blocksec.com/book-demo

Sign up for the latest updates
Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

FATF, MiCA, OFAC — три регулятора, один вопрос для VASP: готова ли ваша система комплаенса к завтрашним проверкам или вы все еще живете вчерашним днем?

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

На каждые 10 000 USDT в сети приходится около 13 USDT «грязных» активов. Выбор платформы определяет, попадут ли эти средства на ваш баланс.

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.