Como o design do Price Feed converteu 60 milhões $ numa catástrofe de 19 mil milhões $

Nos dias 10 e 11 de outubro de 2025, uma liquidação de mercado de 60 milhões $ provocou a destruição de 19,3 mil milhões $ em valor. Não resultou de um colapso do mercado, nem de chamadas de margem em cascata sobre posições efetivamente deterioradas. O responsável foi uma falha no oráculo.

Este cenário não foi inovador. O mesmo padrão de ataque tem sido explorado com êxito desde fevereiro de 2020, causando à indústria prejuízos acumulados de centenas de milhões de dólares em dezenas de incidentes. Outubro de 2025 representa uma ampliação de 160 vezes face ao maior ataque anterior a oráculos—não pela sofisticação técnica, mas porque o sistema subjacente cresceu mantendo vulnerabilidades fundamentais.

Cinco anos de lições dispendiosas foram ignorados. Esta análise explica as razões.

O Dilema dos Oráculos: Sensibilidade versus Estabilidade

Qualquer plataforma alavancada enfrenta um desafio central: Como valorizar o colateral com precisão e impedir a manipulação?

Demasiada sensibilidade conduz a ataques de manipulação; demasiada estabilidade impede a identificação de deteriorações reais

Outubro de 2025 optou pela sensibilidade. O oráculo acompanhou fielmente os preços à vista enquanto 60 milhões $ eram vendidos massivamente no mercado, desvalorizando o colateral em tempo real e desencadeando liquidações em massa. O sistema funcionou exatamente conforme previsto.

O desenho revelou-se catastroficamente falho.

O Padrão de Cinco Anos Que Recusámos Ver

Antes de analisar outubro de 2025, importa perceber: já estivemos nesta posição.

O Roteiro (2020-2022)

Fevereiro de 2020: bZx (350 mil $ + 630 mil $) Oráculo de fonte única. Manipulação do preço WBTC na Uniswap via flash loan. 14,6% do supply total foi movimentado para manipular o feed do bZx.

Outubro de 2020: Harvest Finance (24 milhões $ roubados, 570 milhões $ fuga de depósitos) Sete minutos. Flash loan de 50 milhões $. Manipulação dos preços de stablecoins na Curve. Colapso da infraestrutura e retirada de liquidez muito superiores ao roubo inicial.

Novembro de 2020: Compound (89 milhões $ liquidados) DAI subiu para 1,30 $ na Coinbase Pro—em mais lado nenhum. O oráculo da Compound usava esta exchange como referência. Utilizadores liquidados com base em preços que só existiram numa exchange durante uma hora. Bastaram 100 mil $ para manipular o livro de ordens com profundidade de 300 mil.

Outubro de 2022: Mango Markets (117 milhões $) Capital inicial de 5 milhões $. Pump do token MNGO em 2 394% em múltiplas plataformas. Empréstimo de 117 milhões $ contra colateral inflacionado. Utilização de governance tokens roubados para aprovar um “bug bounty” de 47 milhões $. Primeira ação sancionatória do CFTC por manipulação de oráculo.

O Fio Condutor

Todos os ataques seguiram o mesmo raciocínio:

1. Identificar dependência do oráculo em fontes manipuláveis
2. Calcular: Custo de manipulação < Valor extraível
3. Executar
4. Lucrar

De 2020 a 2022: 403,2 milhões $ roubados em 41 ataques de manipulação de oráculo.

Resposta da indústria: Fragmentada. Lenta. Incompleta. A maioria das plataformas continuou a usar oráculos centrados em preços à vista, sem redundância suficiente.

Depois veio outubro de 2025.

Anatomia da Falha do Oráculo: Edição 2025

10 de outubro de 2025, 05:43: 60 milhões $ USDe vendidos massivamente em mercados à vista.

Numa arquitetura de oráculo correta: impacto mínimo, absorvido por múltiplas fontes independentes.

Neste oráculo: catástrofe.

Venda massiva de 60 milhões $ → Oráculo desvaloriza colateral (wBETH, BNSOL, USDe) →

Liquidações em massa → Sobrecarga de infraestrutura → Vazio de liquidez → 19,3 mil milhões $ destruídos

O Fator de Amplificação

• Mango Markets (2022): Manipulação de 5 milhões $ → 117 milhões $ extraídos (23x)
• Outubro de 2025: Manipulação de 60 milhões $ → 19,3 mil milhões $ destruídos (322x)

Não pela sofisticação. Porque a mesma vulnerabilidade existia à escala institucional.

O Problema da Distribuição de Peso

O oráculo dependia fortemente dos preços à vista do principal mercado. Quando uma plataforma domina o volume:

• Volume elevado sugere que a descoberta de preço ocorre aí (parece racional)
• Mas a concentração cria vulnerabilidade à manipulação (fatal)
• Usar preços internos em exclusivo gera um ciclo auto-referencial (agrava o problema)

Uma observação de um analista ilustra a lógica falhada: “como [a exchange] tem o maior volume de usde/bnsol/wbeth, mesmo com ponderação do oráculo, deveria referenciar o preço à vista.”

Esta intuição—confiar no maior mercado—destruiu milhares de milhões em cinco anos de ataques a oráculos. A concentração de volume não prova precisão do preço. Prova oportunidade de manipulação.

Janela de Vulnerabilidade Agendada

As atualizações metodológicas ao oráculo foram anunciadas oito dias antes da implementação. O atacante tinha:

• Dependências do oráculo conhecidas
• Momento de transição previsível
• Oito dias para se posicionar e preparar

Os ataques anteriores exploraram vulnerabilidades existentes. Outubro de 2025 explorou a transição entre metodologias de oráculo—uma vulnerabilidade criada apenas porque as melhorias foram anunciadas antes de implementadas.

O Teste de Isolamento de Mercado

A prova mais clara que se tratou de falha do oráculo, não de deterioração de ativos:

Exchange principal: USDe a 0,6567 $, wBETH a 430 $ Outros mercados: < 30 pontos base de variação

Pools em cadeia: impacto mínimo

Como notou Guy da Ethena: “Havia mais de 9 mil milhões $ de colateral em stablecoins disponível para resgate imediato” ao longo do evento.

Os preços mudaram radicalmente na exchange fonte do oráculo, mantendo-se estáveis em todo o resto. O oráculo reportou o preço manipulado. O sistema liquidou com base em preços que não existiam em mais lado nenhum do mercado.

Este é o padrão Compound 2020: manipulação isolada do mercado, fielmente reportada, sistematicamente destrutiva.

A Cascata de Infraestrutura

O analista agintender identificou o mecanismo de amplificação:

“A liquidação em cadeia sobrecarregou o servidor com milhões de solicitações. Os market makers não conseguiram colocar bids em tempo útil, gerando o vazio de liquidez.”

Este é o padrão Harvest Finance em larga escala. O ataque desencadeia liquidações mais rápidas do que a infraestrutura consegue processar. Os market makers não reagem. A liquidez desaparece. A cascata auto-reforça-se.

Depois do colapso da infraestrutura da Harvest em outubro de 2020 (TVL a cair de 1 mil milhões $ para 599 milhões $ com fuga de utilizadores), a lição tornou-se óbvia: os sistemas de oráculo têm de considerar a capacidade da infraestrutura em eventos de stress.

Outubro de 2025 provou que não aprendemos.

O Compromisso da Sensibilidade: Duas Abordagens, Um Desastre

Guy da Ethena explicou o desafio central do design: Os oráculos devem distinguir entre deslocalizações temporárias (ruído de mercado) e deteriorações permanentes (perdas reais).

Outubro de 2025 evidenciou duas respostas:

Abordagem de Alta Sensibilidade (A Exchange Falhada)

• Preços à vista em tempo real
• Resposta rápida ao mercado
• Resultado: cascata de 19 mil milhões $

É o modelo bZx/Harvest: confiar no à vista, ser destruído por manipulação.

Abordagem de Alta Estabilidade (Sobreviventes DeFi)

• USDe fixado = USDT
• Ignorar deslocalizações temporárias
• Resultado: sem liquidações

É uma sobrecorreção. Melhor do que falhar, mas não é ótimo.

A indústria teve cinco anos para criar soluções equilibradas. Não obteve nem o ótimo nem o aceitável—ficou com ambos os extremos, com a escala institucional a escolher o catastrófico.

O Teorema do Ataque ao Oráculo: Agora Empiricamente Validado

Teorema: Em qualquer sistema alavancado em que:

1. Os preços do oráculo dependem principalmente de mercados à vista manipuláveis
2. Os triggers de liquidação são deterministas
3. A infraestrutura tem limites de capacidade

Então: Custo de manipulação < Valor extraível por cascatas

Prova por demonstração repetida:

• bZx (fev 2020): Manipulação Uniswap → 350 mil $ + 630 mil $ extraídos
• Harvest (out 2020): Manipulação Curve → 24 milhões $ roubados + 570 milhões $ fuga de depósitos
• Compound (nov 2020): Manipulação Coinbase → 89 milhões $ liquidados
• Mango (out 2022): Manipulação multi-plataforma → 117 milhões $ extraídos
• Outubro 2025: Manipulação mercado principal → 19,3 mil milhões $ destruídos

À medida que o sistema cresce linearmente, os danos escalam exponencialmente. O custo de manipulação mantém-se quase constante (determinado pela liquidez do mercado), mas o valor extraível cresce com a alavancagem total.

Outubro de 2025 valida o teorema numa escala sem precedentes.

Princípios de Design de Oráculo: Lições Que Deveríamos Ter Aprendido

1. Validação Multi-Fonte

Nunca confiar em preços de um só mercado, especialmente do próprio livro de ordens. Esta foi a lição do bZx em fevereiro de 2020. O design correto de oráculos exige:

Preço Oráculo = Média ponderada de:

• Preços de vários mercados (40%)

• Pools de liquidez em cadeia (30%)

• Rácios de conversão de ativos encapsulados (20%)

• Preços históricos ponderados pelo tempo (10%)

Os pesos importam menos do que a independência. Se todas as fontes podem ser manipuladas em simultâneo com capital razoável, só existe uma fonte.

1. Sensibilidade Adaptativa

Os oráculos devem ajustar a sensibilidade em função das condições de mercado:

• Mercados normais: maior sensibilidade a alterações de preço
• Mercados voláteis: maior estabilidade via ponderação temporal
• Movimentos extremos: interruptores de emergência e verificações de integridade

Os oráculos Preço Médio Ponderado pelo Tempo (TWAP) foram amplamente adotados após os ataques de flash loan em 2020 para evitar manipulação por transação única. No entanto, os oráculos de outubro de 2025 responderam ao à vista em tempo real, como se os últimos cinco anos não tivessem existido.

1. Resiliência de Infraestrutura

Os sistemas de oráculo devem manter funcionalidade durante cadeias:

• Infraestrutura separada para fontes de preços
• Capacidade para milhões de consultas simultâneas
• Degradação controlada sob carga

Depois do colapso da Harvest Finance em outubro de 2020, ficou evidente a importância da capacidade do sistema em situações de stress. As cadeias de liquidação geram cargas exponenciais. A infraestrutura tem de suportar não só a primeira liquidação, mas a milésima liquidação simultânea quando os market makers não conseguem acompanhar e os utilizadores entram em pânico.

1. Transparência Sem Vulnerabilidade

A janela de oito dias entre anúncio e implementação criou um vetor de ataque conhecido. Alternativas melhores:

• Implementar mudanças imediatamente após anúncio
• Usar atualizações contínuas sem datas fixas
• Manter auditoria sem períodos de pré-visualização

Esta é uma lição nova, mas lógica: nunca anunciar mudanças exploráveis com antecedência. O atacante de outubro de 2025 teve oito dias para planear, posicionar e preparar. Sabia exatamente quando a janela de vulnerabilidade abriria.

Perspetiva Académica: Teorema do Ataque ao Oráculo

Do ponto de vista teórico, cinco anos de evidência empírica comprovam:

Teorema: Em qualquer sistema alavancado em que:

1. Os preços do oráculo dependem principalmente de mercados à vista manipuláveis
2. Os triggers de liquidação são deterministas
3. A infraestrutura tem limites de capacidade

Então: Custo de manipulação < Valor extraível por cadeias

Prova por validação empírica repetida:

• bZx (fev 2020): 10 milhões $ emprestados, 350 mil $ extraídos. Manipulação do oráculo via Uniswap.
• Harvest (out 2020): Flash loan de 50 milhões $, 24 milhões $ roubados + 570 milhões $ fuga de depósitos.
• Compound (nov 2020): Manipulação de livro de ordens com 100 mil $, 89 milhões $ liquidados.
• Mango (out 2022): 5 milhões $ capital inicial, 117 milhões $ extraídos.
• Outubro 2025: Venda massiva de 60 milhões $, 19,3 mil milhões $ destruídos.

O percurso é claro: à medida que o sistema cresce linearmente, os danos escalam exponencialmente. O custo de manipulação mantém-se relativamente constante (determinado pela liquidez dos mercados manipuláveis), mas o valor extraível cresce com a alavancagem total.

Outubro de 2025 confirma empiricamente o teorema à escala inédita.

Implicações Sistémicas: Lições Ainda Não Aprendidas

Não foi apenas a falha de uma plataforma—exibe vulnerabilidades de todo o setor que persistem apesar de cinco anos de aprendizagem dispendiosa:

1. Excesso de Dependência dos Preços à Vista

A maioria das plataformas utiliza oráculos com forte peso no à vista, embora todos os ataques relevantes desde 2020 explorem esta vulnerabilidade. O setor reconhece que o à vista é manipulável. Sabe que TWAP e oráculos multi-fonte oferecem melhor proteção. Mas a implementação continua incompleta.

Porquê? Rapidez e sensibilidade são vantagens até se tornarem bugs. Atualizações em tempo real aparentam maior precisão—até serem manipuladas.

2. Risco de Concentração

Mercados dominantes criam pontos únicos de falha. Foi assim com o bZx na Uniswap, com o Compound na Coinbase e com a plataforma de outubro de 2025 no seu próprio livro de ordens. O mercado muda; a vulnerabilidade permanece.

Quando uma exchange concentra a maioria do volume, utilizá-la como principal fonte do oráculo parece racional. Mas o risco de concentração em fontes de preço é como em qualquer sistema: é seguro até ser explorado.

3. Suposições de Infraestrutura

Sistemas desenhados para mercados normais falham catastroficamente em stress. A Harvest Finance evidenciou isto em 2020. Outubro de 2025 provou que ainda desenhamos para condições normais e esperamos que o stress nunca aconteça.

A esperança não é uma estratégia.

4. O Paradoxo da Transparência

Anunciar melhorias cria janelas de ataque. O intervalo de oito dias entre anúncio e implementação das alterações ao oráculo deu aos atores sofisticados um roteiro e calendário. Sabiam exatamente quando atacar e o que explorar.

É uma nova forma de falhar num problema antigo. Os ataques anteriores exploravam vulnerabilidades existentes. Outubro de 2025 explorou a transição entre metodologias de oráculo—uma vulnerabilidade criada pela antecipação das melhorias.

O Caminho em Frente: Aprender Realmente Desta Vez

Melhorias Imediatas

1. Desenho Híbrido de OráculoCombine múltiplas fontes de preço com verificações de integridade eficazes:

• Preços de CEX (ponderação por volume em vários mercados)
• Preços de DEX (apenas pools de elevada liquidez)
• Prova de reservas em cadeia
• Limites de desvio entre exchanges

Cada fonte deve ser independente. Se manipular uma afeta outra, não há redundância.

2. Ponderação DinâmicaAjustar a sensibilidade do oráculo em função das condições de mercado:

• Volatilidade normal: ponderações padrão
• Volatilidade elevada: aumentar janela TWAP, reduzir influência do à vista
• Movimentos extremos: pausar liquidações, investigar antes de agir

O ataque à Compound mostrou que, por vezes, o “preço correto” numa exchange está errado para o mercado global. O oráculo deve ser suficientemente inteligente para perceber isso.

3. Mecanismos de suspensãoPausar liquidações em movimentos de preço extremos—não para evitar deleveraging legítimo, mas para distinguir manipulação da realidade de mercado:

• Se os preços convergirem entre mercados em minutos: provavelmente é real
• Se os preços permanecerem isolados num mercado: provavelmente é manipulação
• Se a infraestrutura estiver sobrecarregada: pausar até restaurar capacidade

O objetivo não consiste em evitar todas as liquidações, mas sim impedir liquidações em cadeia resultantes de manipulação de preços.

4. Escalabilidade de InfraestruturaDesenhar para 100 vezes a capacidade normal, porque é o que as cadeias geram:

• Infraestrutura separada para fontes de preços
• Sistemas de liquidação independentes
• Limitação de taxa por endereço
• Protocolos de degradação controlada

Se o sistema não suportar a carga durante uma cadeia, irá amplificá-la. É um requisito de design, não uma otimização.

Soluções de Longo Prazo

1.Redes Descentralizadas de OráculoMigrar para soluções maduras como Chainlink, Pyth ou UMA que agregam múltiplas fontes e têm resistência incorporada à manipulação. Não são perfeitas, mas são superiores aos oráculos dependentes do à vista, explorados ciclicamente. O bZx integrou Chainlink após os ataques de 2020. Deixou de ser atacado por manipulação de oráculo. Não é coincidência.

2.Integração de Prova de ReservasPara ativos encapsulados e stablecoins, validar colateral em cadeia. O USDe deve ser valorizado por reservas verificáveis, não pela dinâmica do livro de ordens. A tecnologia existe; falta implementar.

3.Liquidações GraduaisEvitar amplificação de cadeia através de liquidação faseada:

• Primeiro limiar: alerta e tempo para adicionar colateral
• Segundo limiar: liquidação parcial (25%)
• Terceiro limiar: liquidação maior (50%)
• Limiar final: liquidação total
  Permite aos utilizadores reagir e reduz o choque sistémico de liquidações em massa simultâneas.

4.Auditoria em Tempo RealMonitorizar tentativas de manipulação de oráculo:

• Desvios de preço entre exchanges
• Volume anómalo em pares com pouca liquidez
• Aumentos rápidos de posições antes de updates do oráculo
• Deteção de padrões de ataque conhecidos

O ataque de outubro de 2025 provavelmente gerou sinais de alerta. Alguém vender massivamente 60 milhões $ de USDe às 05:43 devia ativar alarmes. Se a monitorização não detetou, não é suficiente.

Conclusões: O Lembrete dos 19 mil milhões $

A cadeia de liquidação de 10-11 de outubro não foi provocada por sobrealavancagem ou pânico de mercado—resultou de uma falha de design de oráculo à escala. Uma ação de mercado de 60 milhões $ foi amplificada em 19 mil milhões $ de destruição porque os sistemas de fontes de preço não distinguem manipulação de descoberta legítima de preço.

Mas não é um modo de falha novo. É o mesmo que destruiu o bZx em fevereiro de 2020, o Harvest em outubro de 2020, o Compound em novembro de 2020 e o Mango em outubro de 2022.

A indústria foi confrontada com esta lição cinco vezes, sempre com custos crescentes:

• 2020: Protocolos individuais aprenderam e corrigiram
• 2022: Reguladores aprenderam e começaram a atuar
• 2025: O mercado inteiro aprendeu, pagando 19,3 mil milhões $ em propina

A única questão agora é se vamos finalmente recordar a lição.

Cada plataforma com posições alavancadas deve perguntar:

• O nosso oráculo resiste a vetores de ataque conhecidos de 2020-2022?
• A nossa infraestrutura suporta cenários de cadeia já observados?
• Balanceámos corretamente sensibilidade e estabilidade?
• Estamos a repetir os mesmos erros que custaram centenas de milhões à indústria?

Porque cinco anos de histórico provam que a manipulação de oráculo não é risco hipotético nem exceção—é uma estratégia de ataque documentada, recorrente e lucrativa, que escala com o mercado.

Outubro de 2025 demonstrou o que acontece quando estas lições não são aprendidas à escala institucional. O ataque não teve qualquer sofisticação ou inovação. Limitou-se a seguir o mesmo procedimento, aplicado a um sistema de maior dimensão, numa janela de vulnerabilidade já identificada.

O oráculo é o alicerce. Quando fende, tudo desmorona. Sabemos isto desde fevereiro de 2020. Pagámos milhares de milhões para aprender, repetidamente. Resta saber se o custo de outubro de 2025 será suficiente para motivar ação sobre o que já sabemos.

Nos mercados modernos interligados, o design do oráculo não se resume a fontes de dados—é uma questão de estabilidade sistémica. Se falhar, 60 milhões $ podem destruir 19 mil milhões $.

Se falhar repetidamente, não está a aprender com a história. Apenas torna cada repetição mais cara.

Análise baseada em dados públicos de mercado, comunicações de plataformas e cinco anos de estudos de caso de manipulação de oráculos. As opiniões expressas são exclusivamente minhas, informadas mas não representando qualquer entidade.

Aviso Legal:

1. Este artigo é republicado de [yq_acc]. Todos os direitos de autor pertencem ao autor original [yq_acc]. Caso haja objeção à republicação, contacte a equipa do Gate Learn, que dará seguimento imediato.
2. Isenção de responsabilidade: As opiniões e pontos de vista expressos neste artigo são exclusivamente do autor e não constituem aconselhamento de investimento.
3. As traduções deste artigo para outros idiomas são realizadas pela equipa Gate Learn. Salvo indicação em contrário, é proibida a cópia, distribuição ou plágio dos artigos traduzidos.