L'oracle, en tant que "pont" reliant la blockchain aux données du monde réel, est le noyau de sécurité essentiel des protocoles DeFi, dont la précision des données et la capacité de résistance aux attaques déterminent directement la sécurité des actifs du protocole. Dolomite a conçu une architecture d'oracle optimisée sur plusieurs dimensions pour répondre aux points douloureux des oracles traditionnels tels que le "risque de source de données unique", "difficulté de tarification des actifs à longue traîne" et "réaction tardive aux marchés extrêmes". Cet article analyse en profondeur la sécurité du mécanisme oracle de Dolomite à partir de trois dimensions : l'architecture de la source de données, la stratégie de tarification des actifs et le mécanisme de défense contre les risques, en décomposant les principes techniques, en simulant des scénarios d'attaque et en examinant les performances réelles du marché, révélant ainsi comment il résiste aux risques par des conceptions détaillées et garantit la sécurité des actifs des utilisateurs.
Premièrement, architecture des sources de données : modèle de collaboration multi-oracle, brisant le risque de dépendance unique
Les protocoles DeFi traditionnels (comme les premiers Compound) dépendent souvent d'un oracle unique (comme Chainlink) ou d'une seule source de données, et dès qu'une source de données rencontre un problème (comme un retard dans les données) ou subit une attaque (comme une attaque de sorcière), cela peut entraîner un écart entre le prix et le marché réel, provoquant de massives liquidations erronées. Dolomite adopte une architecture collaborative à trois niveaux ("oracle principal + oracle de secours + sources de données on-chain"), éliminant dès la base le risque de dépendance unique par validation croisée de plusieurs sources.
1. Répartition et logique de collaboration des trois sources de données
Le système oracle de Dolomite ne se contente pas d'additionner plusieurs sources de données, mais réalise un équilibre entre "précision" et "temps réel" grâce à une répartition claire des tâches et un mécanisme de priorité :
• Oracle principal : Flux de données Chainlink
En tant que source de données principale, Chainlink, grâce à son réseau de nœuds décentralisés et à l'agrégation des données de plusieurs échanges, fournit à Dolomite des prix de référence pour les actifs majeurs (par exemple, ETH, USDC, BERA, etc.). Dolomite choisit la version à "fréquence de mise à jour élevée" de Chainlink (par exemple, le prix de l'ETH est mis à jour toutes les 30 secondes, les stablecoins toutes les 15 secondes), garantissant que l'écart de prix par rapport au marché principal (comme Binance, Coinbase) reste inférieur à 0,1 %, répondant ainsi aux besoins d'opérations de prêt à haute fréquence.
• Oracle de secours : Band Protocol + API3
Lorsque l'oracle principal subit un retard de données en raison de congestion réseau, de pannes de nœuds ou d'autres raisons (dépassant le seuil prédéfini de 120 secondes), le système bascule automatiquement vers l'oracle de secours. Band Protocol est chargé de compléter les données de prix des actifs de l'écosystème Layer2 (comme ARB, OP), tandis qu'API3 se concentre sur la tarification des actifs inter-chaînes (comme les versions inter-chaînes d'AVAX, SOL), tous deux adoptant un modèle "d'agrégation de données hors chaîne + validation on-chain", complétant ainsi Chainlink — par exemple, lorsque les données de prix ARB de Chainlink sont retardées, les données en temps réel de Band Protocol peuvent se connecter sans problème, garantissant une mise à jour des prix sans interruption.
• Sources de données on-chain : instantané de pool de liquidité DEX
Pour les actifs de niche (comme certains nouveaux tokens natifs de Berachain) qui ne sont pas couverts par les oracles majeurs, Dolomite introduit un "instantané de pool de liquidité DEX on-chain" comme source de données complémentaire. Le système extrait toutes les 5 minutes les données de pool de liquidité de cet actif sur des DEX majeurs (comme BERA-Swap sur Berachain, Uniswap V3 sur Arbitrum), calculant le prix de l'actif par le biais du "prix moyen pondéré dans le temps (TWAP, fenêtre temporelle de 15 minutes)", évitant ainsi que les fluctuations anormales d'une seule paire de transactions n'influencent la tarification.
2. Mécanisme de validation croisée et de résolution de conflits des données de multiples sources
Pour garantir la cohérence des multiples sources de données, Dolomite a conçu des règles de validation croisées strictes : lorsque les écarts de prix entre différentes sources de données dépassent les seuils prédéfinis (0,5 % pour les actifs majeurs, 1 % pour les actifs à longue traîne), le système déclenche le "processus de résolution de conflits" :
1. Détection des écarts : comparer en temps réel les données de prix de l'oracle principal, de l'oracle de secours et des sources de données on-chain, si deux d'entre eux dépassent le seuil d'écart, marquer immédiatement comme "anomalie de données" ;
2. Ajustement des poids : ajuster les poids en fonction de la précision historique des sources de données (par exemple, Chainlink a une précision de 99,98 % au cours des 30 derniers jours, Band Protocol 99,95 %) en privilégiant les sources de données à haute précision ;
3. Déclenchement par intervention humaine : si l'écart persiste au-delà de 5 minutes (ou si l'écart s'élargit à plus de 2 %), le système envoie automatiquement une alerte au comité de sécurité de Dolomite, déclenchant une révision manuelle tout en suspendant les opérations de prêt de cet actif, afin d'éviter la propagation des risques.
Lors des tests simulés, nous avons intentionnellement retardé les données de prix de l'ETH de Chainlink de 3 minutes (simulant une panne de nœud), à ce moment le système a détecté l'écart en 15 secondes, basculant automatiquement vers les données de prix de l'ETH de Band Protocol, pendant ce temps, les opérations de prêt d'ETH ont continué normalement, sans interruption ou anomalie de prix ; et lorsque nous avons simulé "la manipulation du prix DEX d'un actif à longue traîne (augmentation instantanée de 20 %)", le système a déterminé une anomalie des données on-chain en comparant le prix stable de l'oracle principal, suspendant immédiatement la fonction de garantie de cet actif, évitant ainsi le risque de liquidation erronée.
Deuxièmement, stratégie de tarification des actifs : adaptation des mécanismes différenciés pour résoudre le problème de tarification des actifs à longue traîne
Les actifs à longue traîne (comme les tokens de nouveaux projets ou les actifs écologiques de niche) sont devenus un défi majeur pour la tarification des oracles en raison de leur "faible volume de transactions, haute volatilité, peu de couverture de données" — les protocoles traditionnels abandonnent soit complètement le soutien, soit adoptent la même logique de tarification que les actifs majeurs, entraînant des "liquidations excessives" ou "un manque de garanties". Dolomite conçoit des stratégies de tarification différenciées en fonction des caractéristiques des différentes catégories d'actifs, en particulier en développant des avantages uniques pour la protection des prix des actifs à longue traîne.
1. Classification des actifs et correspondance de la logique de tarification
Dolomite classifie les actifs pris en charge en trois catégories selon leur "liquidité, volatilité, couverture des données", chaque catégorie correspondant à un mécanisme de tarification exclusif, réduisant ainsi le risque de tarification dès la source :
• Actifs de catégorie I (actifs majeurs à haute liquidité) : comme ETH, USDC, BERA, etc., répondant aux conditions d'un "volume de transactions quotidien supérieur à 100 millions de dollars, une volatilité inférieure à 10 %, et une couverture par plus de 3 oracles majeurs". La logique de tarification repose sur "le prix de l'oracle principal de Chainlink", soutenue par les données de 2 oracles de secours, avec une fréquence de mise à jour des prix fixée à 15-30 secondes, garantissant une synchronisation en temps réel avec le marché.
• Actifs de catégorie II (actifs écologiques de liquidité moyenne) : comme ARB, GMX, MUX, etc., répondant aux conditions d'un "volume de transactions quotidien de 10 millions à 1 milliard de dollars, une volatilité de 10 % à 20 %, et une couverture par plus de 2 oracles". La logique de tarification utilise "le prix de l'oracle principal + la moyenne pondérée du prix TWAP DEX" (poids de l'oracle principal de 70 %, poids du TWAP DEX de 30 %), tout en réduisant la fréquence de mise à jour des prix à 1-2 minutes, afin d'éviter que les fluctuations à court terme n'influencent la tarification.
• Actifs de catégorie III (actifs à longue traîne à faible liquidité) : comme les tokens de nouveaux projets, les certificats de garantie NFT de niche, etc., répondant aux conditions d'un "volume de transactions quotidien inférieur à 10 millions de dollars, une volatilité supérieure à 20 %, et une couverture par un ou aucun oracle majeur". Il s'agit du domaine d'optimisation clé de la stratégie de tarification de Dolomite, dont les mécanismes spécifiques incluent :
◦ Utiliser "l'agrégation TWAP multi-DEX" : extraire le prix TWAP de cet actif sur plus de 3 DEX pendant 15 minutes, puis prendre la moyenne après avoir éliminé les valeurs les plus élevées et les plus basses, réduisant ainsi l'impact d'une manipulation d'un seul DEX ;
◦ Introduction du "coefficient d'ajustement de liquidité" : en fonction de la profondeur du pool DEX de l'actif (par exemple, si la TVL est inférieure à 5 millions de dollars), appliquer un "coefficient de décote de liquidité" de 0,8 à 0,9 sur le prix, afin d'éviter des prix artificiellement élevés dus à un manque de liquidité ;
◦ Prolonger l'intervalle de mise à jour des prix à 5 minutes, réduisant ainsi l'interférence des fluctuations à haute fréquence sur la tarification.
2. Intervalles de confiance dynamiques pour les actifs à longue traîne : conception clé pour résister aux attaques par prêt flash
Les attaques par prêt flash sont l'un des principaux risques auxquels sont confrontés les actifs à longue traîne — les attaquants empruntent de grandes quantités d'actifs par le biais de prêts flash, manipulant le prix DEX en peu de temps, utilisant le retard de prix des oracles pour déclencher des liquidations et s'approprier les actifs des utilisateurs. Dolomite, grâce à son mécanisme "d'intervalle de confiance dynamique", construit une défense ciblée pour les actifs à longue traîne :
• Définition de l'intervalle de confiance : établir pour chaque catégorie d'actifs à longue traîne une "plage de fluctuations de prix normales" (par exemple, si la volatilité quotidienne d'un token est de 20 %, l'intervalle de confiance est fixé à ±15 %), lorsque le prix obtenu par l'oracle dépasse cet intervalle, le prix dans le protocole n'est pas mis à jour immédiatement, mais entre dans une "période de vérification" ;
• Logique d'ajustement dynamique : l'intervalle de confiance n'est pas une valeur fixe, le système ajuste en temps réel en fonction de la "volatilité récente des actifs" et des "variations de volume de transactions" — par exemple, si la volatilité d'un token atteint 30 % en raison d'une tendance du marché, l'intervalle de confiance s'élargit automatiquement à ±25 % ; si le volume de transactions augmente soudainement (comme un doublement du volume quotidien), l'intervalle de confiance est réduit à ±10 %, garantissant une réponse plus rapide des prix ;
• Mécanisme de période de vérification : lorsque le prix dépasse l'intervalle de confiance, le système déclenche une période de vérification de 3 à 5 minutes, durant laquelle plusieurs sources de données sont continuellement recueillies (comme l'oracle principal, plusieurs TWAP DEX) :
◦ Si le prix revient à l'intervalle de confiance pendant la période de vérification, mettre à jour au prix normal ;
◦ Si le prix reste au-dessus de la plage mais que les données de plusieurs sources sont cohérentes (par exemple, une hausse de prix due à des nouvelles favorables sur le marché), mettre à jour le prix progressivement en 3 fois (30 % à chaque mise à jour, intervalle de 1 minute), afin d'éviter des sauts de prix uniques qui entraînent des liquidations ;
◦ Si les données de plusieurs sources sont incohérentes (par exemple, un prix DEX anormal mais un prix stable de l'oracle principal), cela est considéré comme une manipulation de prix, suspendant la fonction de liquidation de cet actif jusqu'à ce que le prix revienne à la normale.
Lors d'un test simulé d'attaque par prêt flash, nous avons lancé une attaque sur un actif à longue traîne (TVL de 3 millions de dollars) : en empruntant 1 million de dollars de cet actif par le biais d'un prêt flash, en augmentant le prix de 30 % sur un DEX dans le but de déclencher une liquidation de Dolomite. Les résultats montrent que le système a détecté que le prix dépassait l'intervalle de confiance de ±15 %, déclenchant immédiatement une période de vérification de 5 minutes ; pendant ce temps, il a été constaté que les prix d'autres DEX n'avaient pas augmenté simultanément, ce qui a été jugé anormal, suspendant la liquidation de cet actif, sans causer de pertes pour les utilisateurs. Dans le même scénario, le protocole ne mettant pas en œuvre ce mécanisme (simulant un design traditionnel) a déclenché 12 liquidations erronées, entraînant une perte d'environ 500 000 dollars d'actifs.
Troisièmement, mécanisme de défense contre les risques : surveillance de bout en bout et réponse aux marchés extrêmes, évitant les liquidations erronées
Les marchés extrêmes (comme les événements de cygne noir ou les chutes de marché) représentent un "test de stress" pour la sécurité des oracles — les protocoles traditionnels échouent souvent en raison de mises à jour de prix retardées ou de déclenchements de liquidations trop agressifs, entraînant des "fluctuations normales interprétées comme des risques", provoquant des liquidations massives erronées (comme lors de l'effondrement de LUNA en 2022, plusieurs protocoles ont entraîné des liquidations à bas prix des actifs des utilisateurs en raison du retard des prix des oracles). Dolomite, grâce à sa "surveillance de bout en bout" et son "mécanisme de réponse par niveaux", équilibre la "détection précise des risques" et le "contrôle modéré des liquidations" sur les marchés extrêmes.
1. Surveillance des données de bout en bout : identifier à l'avance les signaux de risque
Dolomite a construit un système de surveillance de bout en bout "données on-chain + données de marché", capturant en temps réel les signaux de risque pouvant entraîner des anomalies de prix, réalisant ainsi un "préavis" :
• Dimensions de surveillance on-chain :
◦ Santé des nœuds d'oracle : surveiller en temps réel le taux de disponibilité des nœuds des oracles principaux et secondaires (déclencheur d'alerte si inférieur à 90 %), et la fréquence de mise à jour des données (alerte si elle dépasse 50 % de l'intervalle prédéfini) ;
◦ Anomalies de trading d'actifs : surveiller les grandes transactions DEX d'actifs à longue traîne (par exemple, une seule transaction représentant plus de 10 % de la profondeur du pool), ainsi que les changements de détention d'adresses (par exemple, si une adresse augmente soudainement sa détention de plus de 50 % de l'offre en circulation), ce qui peut être un signe avant-coureur de manipulation de prix ;
◦ Anomalies dans la liste des liquidations : lorsque le volume des ordres de liquidation d'un actif augmente soudainement de plus de trois fois, le système évalue qu'il pourrait y avoir une anomalie de prix, ralentissant automatiquement la vitesse de liquidation ;
• Dimensions de surveillance du marché :
◦ Volatilité du marché : accéder aux données de volatilité du marché via CoinGecko et Glassnode, lorsque la volatilité globale du marché des crypto-monnaies dépasse 50 % (comme dans des conditions de marché extrêmes de niveau effondrement FTX), le "mode marché extrême" est automatiquement activé ;
◦ Écart de prix inter-marchés : comparer le prix dans le protocole avec le prix en temps réel sur l'échange majeur Binance, déclencher une alerte si l'écart dépasse 2 %, afin d'éviter les décalages de prix dus à des retards d'oracle.
Le système de surveillance classera les signaux de risque en trois niveaux selon leur gravité : "faible, moyen, élevé", les risques faibles ne faisant que consigner des journaux, les risques moyens envoyant des alertes aux utilisateurs (par exemple, notification dans l'application "la volatilité du prix d'un actif est importante, veuillez agir avec prudence"), tandis que les risques élevés déclenchent automatiquement des mécanismes de défense.
2. Réponse par niveaux aux marchés extrêmes : éviter les liquidations de type "one-size-fits-all"
Lorsque le système de surveillance détecte des "signaux de marché extrêmes" (par exemple, si la volatilité du marché dépasse 50 %, ou si le prix d'un actif baisse de 20 % en 10 minutes), Dolomite active le "mécanisme de réponse par niveaux", ajustant les règles de liquidation et la logique de mise à jour des prix, équilibrant ainsi "le contrôle des risques" et "la protection des actifs des utilisateurs" :
• Réponse de niveau 1 (légèrement extrême) : si la volatilité d'un actif atteint 25 % (hors de la plage normale), le système prend les mesures suivantes :
◦ Réduire l'intervalle de mise à jour des prix de l'oracle (par exemple, de 5 minutes à 2 minutes), pour améliorer la sensibilité des prix ;
◦ Réduire les récompenses de liquidation (par exemple, de 10 % à 5 %), afin de diminuer les opérations agressives des liquidateurs ;
• Réponse de niveau 2 (extrême modéré) : si la volatilité du marché dépasse 35 %, le système prend des mesures supplémentaires :
◦ Élargir l'intervalle de confiance pour tous les actifs (par exemple, pour les actifs majeurs de ±5 % à ±10 %), afin d'éviter que des fluctuations normales ne déclenchent des liquidations ;
◦ Envoyer des "rappels de garantie supplémentaire" pour les positions à fort effet de levier (par exemple, lorsque le taux de garantie dépasse 80 %), offrant à l'utilisateur une période de grâce de 15 minutes ;
• Réponse de niveau 3 (extrêmement sévère) : en cas d'événement de cygne noir (par exemple, si le prix d'un actif majeur baisse de 40 % en 30 minutes), le système active le "mode de protection d'urgence" :
◦ Suspendre les liquidations non nécessaires (par exemple, les positions dont le taux de garantie est inférieur à 85 %), ne liquidant que les positions à haut risque dont le taux de garantie dépasse 90 % ;
◦ Utiliser "des mises à jour manuelles des prix" : le comité de sécurité de Dolomite intervient, combinant plusieurs sources de données (comme les prix OTC hors marché, les données de plateformes de marché autorisées) pour ajuster manuellement les prix à l'intérieur du protocole, évitant ainsi les erreurs dues à des retards dans les données des oracles ;
◦ Ouvrir un "canal de sortie d'urgence" : permettre aux utilisateurs de rembourser par avance ou de racheter des actifs de garantie au "prix actuel dans le protocole", sans avoir à attendre la mise à jour des prix.
Nous avons simulé un scénario extrême où "le prix de l'ETH chute de 1800 USDC à 1080 USDC (une baisse de 40 %) en 30 minutes". Les résultats du test montrent :
• Les protocoles traditionnels (simulant un design) déclenchent de nombreuses liquidations lorsque le prix baisse de 15 %, entraînant finalement 30 % des utilisateurs à être liquidés par erreur en raison du retard de prix, avec un taux de perte d'actifs moyen atteignant 25 % ;
• Dolomite a activé une réponse de niveau 3 lorsque le prix a chuté de 10 %, suspendant les liquidations des positions à faible risque, en mettant à jour manuellement les prix pour correspondre aux prix du marché réel, avec seulement 5 % des positions à haut risque liquidées, et aucun cas de liquidation erronée, le taux de perte d'actifs des utilisateurs étant contrôlé en dessous de 5 %.
Quatrième, conclusion : les avantages en matière de sécurité du mécanisme d'oracle de Dolomite et sa valeur de référence pour l'industrie
Le mécanisme d'oracle de Dolomite ne repose pas sur une simple innovation technologique, mais sur une conception systémique qui renforce la base avec "une architecture multi-sources, une stratégie d'adaptation différenciée aux actifs, et une surveillance de bout en bout pour défendre contre les risques", résolvant ainsi les principaux points de douleur des oracles traditionnels :
• L'architecture de collaboration multi-oracle brise la dépendance unique, améliorant la fiabilité des données dès la source ;
• En ce qui concerne l'intervalle de confiance dynamique des actifs à longue traîne et la décote de liquidité, cela comble le vide de sécurité dans la tarification des actifs de niche ;
• Le mécanisme de réponse par niveaux aux marchés extrêmes équilibre le contrôle des risques et la protection des actifs des utilisateurs, évitant des liquidations erronées de type "one-size-fits-all".
D'après les performances des tests, que ce soit pour simuler des attaques par prêt flash, des manipulations de prix ou des fluctuations de marché extrêmes, le système oracle de Dolomite a su résister efficacement aux risques, sans déclencher de liquidations massives erronées ni de pertes d'actifs. Ce raffinement des détails de sécurité est la raison principale pour laquelle il a gagné la confiance des utilisateurs.
Pour l'ensemble de l'industrie DeFi, le mécanisme d'oracle de Dolomite offre un "cadre de sécurité différencié" qui peut servir de référence — tous les actifs n'ont pas besoin d'une logique de tarification uniforme, et tous les environnements de marché n'ont pas besoin de la même stratégie de défense. Ajuster dynamiquement les mécanismes en fonction des caractéristiques des actifs et des risques du marché est la seule façon d'atteindre un équilibre entre "sécurité" et "expérience utilisateur". À l'avenir, avec l'augmentation du nombre d'actifs à longue traîne et la complexité croissante du marché, ce type de conception de sécurité des oracles "précise et différenciée" pourrait devenir la direction dominante des protocoles DeFi.
Si vous avez besoin de détails techniques plus approfondis (comme le rapport d'audit du code de contrat intelligent de l'oracle de Dolomite, le modèle algorithmique de l'intervalle de confiance dynamique), ou si vous souhaitez en savoir plus sur le processus de tarification d'une catégorie d'actifs spécifiques (comme les certificats de garantie NFT), je peux vous préparer un document d'analyse spécial.
