Typus Finance на Sui обвалился на 35% после эксплуатации оракула

«Оракулы — это Achilles’ heel DeFi. Если они лгут, всё здание рушится.»
— Хайден Шип, сооснователь MakerDAO

14 октября 2025 года протокол децентрализованных деривативов Typus Finance, построенный на блокчейне Sui, стал жертвой сложной атаки через манипуляцию оракулом. Злоумышленник искусственно исказил цену базового актива, что привело к неправильной оценке залога и позволило вывести 1,2 млн долларов из пулов ликвидности. В результате токен $TYPUS обвалился на 35% за несколько часов, а TVL (Total Value Locked) сократился с $18 млн до $11 млн.

Инцидент подчеркнул хроническую уязвимость DeFi-протоколов, полагающихся на централизованные или слабо защищённые оракулы. Несмотря на рост экосистемы Sui — её TVL превысил $1.2 млрд в октябре 2025 года — многие новые проекты игнорируют базовые принципы безопасности, гонясь за скоростью запуска и высокими APY.

🔍 Как произошла атака?

По данным аналитической платформы SuiVision и исследователя @0xOli, злоумышленник выполнил следующие шаги:

1. Накопил крупную позицию в базовом активе, используемом для ценообразования в Typus (предположительно — wSUI или SUI/USDC LP-токен).
2. Создал искусственный спрос на DEX-пуле Sui (например, Cetus или Scallop), вызвав резкий всплеск цены на 40–60%.
3. Использовал искажённую цену от оракула протокола для открытия завышенного залога.
4. Взял кредит в стейблкоинах (вероятно, USDs от Sui Foundation), превышающий реальную стоимость обеспечения.
5. Вывел средства на Ethereum через мост Wormhole, сделав возврат практически невозможным.

Ключевая уязвимость — оракул Typus Finance использовал цену из одного пула DEX без усреднения по нескольким источникам и без временных задержек (time-weighted average price, TWAP). Это позволило манипулировать ценой с минимальными затратами.

🛡️ Реакция команды и сообщества

Команда Typus Finance оперативно отреагировала:

• Приостановила все операции с займами и торговлю деривативами.
• Обратилась к провайдерам оракулов (включая Pyth и Supra) для экстренной интеграции.
• Объявила о создании фонда компенсаций за счёт будущих комиссий протокола.

Однако доверие было подорвано. На форуме Sui Foundation пользователи требуют аудита всех новых DeFi-проектов до листинга, а инвесторы начали массово выводить средства не только из Typus, но и из других протоколов на Sui с похожей архитектурой.

📊 Контекст: рост DeFi на Sui и его риски

Экосистема Sui переживает бурный рост в 2025 году:

• TVL вырос на 320% с начала года (DefiLlama).
• Количество активных адресов — более 1.4 млн (Sui Explorer).
• Основные протоколы: Scallop (lending), Cetus (DEX), Kriya (perpetuals), SuiSwap.

Однако скорость роста привела к компромиссам в безопасности. По данным CertiK, 68% новых DeFi-проектов на Sui в Q3 2025 года запустились без независимого аудита. Многие используют самописные оракулы или полагаются на один источник данных — что делает их лёгкой мишенью.

Как отметил аналитик из BlockSec: «Sui — мощная платформа, но её DeFi всё ещё в “диком западе”. Без стандартов безопасности рост превращается в пузырь.»

⚙️ Уроки для разработчиков: как избежать подобных атак

Инцидент с Typus Finance — классический пример «oracle manipulation». Чтобы защититься, протоколы должны:

• Использовать мультиоракульные системы — данные от Pyth, Chainlink, Supra с медианным усреднением.
• Внедрить TWAP — усреднение цены за последние 15–60 минут, а не мгновенное значение.
• Ограничить максимальный размер кредита относительно глубины пула ликвидности.
• Проводить публичные аудиты у признанных компаний (CertiK, OpenZeppelin, Trail of Bits).
• Запускать баг-баунти до основного релиза.

Для пользователей — сигнал к осторожности: не гонитесь за APY выше 100% на неаудированных протоколах, особенно на быстрорастущих L1 вроде Sui, Aptos или Sei.

🔮 Будущее DeFi на Sui: между инновациями и безопасностью

Sui Foundation уже реагирует на инцидент. В ноябре 2025 года планируется запуск Sui DeFi Safety Alliance — инициативы, объединяющей разработчиков, аудиторов и оракулы для создания стандартов безопасности.

Кроме того, в разработке находится нативный оракул Sui Oracle, который будет использовать данные от децентрализованной сети валидаторов и интегрироваться с Pyth и Chainlink на уровне протокола.

Если эти меры будут реализованы, Sui может стать не только самой быстрой, но и одной из самых безопасных платформ для DeFi.

✅ Заключение: скорость без безопасности — путь к краху

Атака на Typus Finance — не провал Sui как блокчейна. Это провал культуры «move fast and break things» в DeFi. Пока проекты запускаются без аудитов и с уязвимыми оракулами, такие инциденты будут повторяться — даже на самых технологичных сетях.

Для инвесторов это напоминание: в DeFi 2025 года главный актив — не APY, а доверие, подтверждённое прозрачностью и безопасностью. И его нельзя купить за 35% годовых.