预言机是将有关某些链上或链下事件的信息传输到区块链上的工具。这可以是任何东西，从价格到数量再到天气，尽管在本文中我们将讨论价格的预言。在 DeFi 中，价格预言机用于在链上发布加密货币价格数据，这是智能合约的关键数据输入。通过价格预言获取的最粗略的数据将包括一个没有异常值管理的单一交易工具。在最强大的情况下，各种数据提供者（Kaiko 就是其中之一）从各种交易所获取输入的值，应用异常值检测，并将聚合提供给像 Chainlink 或 Pyth 这样的预言机，然后根据他们从许多数据提供者那里收到的值广播一个总价值。

价格和预言机操纵

价格操纵漏洞是 DeFi 中最早和最常见的漏洞。在 2020 年夏天，随着 DeFi 的腾飞，在预言机被广泛使用之前，由于攻击者会抬高流动性不足的代币（通常是协议的原生代币或治理代币）的价格，导致大量协议的资金流失，从而导致膨胀他们自己头寸的价值，并使用这个膨胀的价值来提取更多“有价值”的代币，比如 ETH 或 USDC。在早期，协议通常会使用来自单个 DEX 的直接价格馈送，使得价格操纵相对容易。当协议会在推特上发布对漏洞利用的事后分析时，他们的回复中会充满“Chainlink 得修复此问题”，而且通常情况下，他们是对的。

预言机为应对此类攻击提供了一层保护，尽管并没有使攻击成为不可能。例如，看看借贷协议 Inverse Finance 发生了什么，该协议今年受到了两次打击，首先是在 Sushiswap 上对 INV-ETH 进行了相对简单的操作。

所需要的只是以很大的 ETH 交换 INV 来操纵价格，Inverse Finance 的预言机发现了这一点，从而使攻击者可以耗尽资金。在 Sushiswap 上，价格达到了近 4,000 美元的高位；在 Uniswap V2 上，超过 15,000 美元；在 Coinbase 上，它达到了 490 美元的高位。不幸的是，Inverse 使用的 Keep3r 预言机完全依赖于 DEX 价格数据（在他宣布创建这些预言机的博客文章中，创建者 Andre Cronje 承认它们没有提供最佳安全性）。更强大的预言机可能会限制来自 DEX 的明显错误值的影响，并在价格变动期间更多地依赖 Coinbase 和其他 CEX。

但是，这里的预言机并没有任何责任。预言机只是为协议提供数据的工具。在这种情况下，预言机完全按照设计运行：它使用较短的 TWAP（由协议设置）跟踪 DEX 上的 INV 价格，并且没有异常值检测。只要预言机提供者有足够的透明度，DeFi 协议就有责任了解他们使用的预言机是如何运作的，以及如何操纵用作输入的价格馈送。对于在少数或没有中心化交易所提供的非流动性和/或小市值代币，价格操纵和预言机操纵相对容易；协议应认识到这一点并采取措施减轻其影响。