Система детекції аномалій TVL
TVL (Total Value Locked)—ключова метрика здоров'я DeFi протоколу. Резке падіння TVL, аномальні депозити/виводи, необ'яснені паттерни руху коштів—все це може сигналізувати про експлойт, rug pull або координовану атаку.
Що вважати аномалією TVL
Потрібно розділити: нормальну волатильність (рінкові рухи, вихід whale) та аномалію (експлойт, rug pull).
Характеристики аномалій:
- Швидкість: Нормальні зміни займають години/дні. Аномалії—секунди або один блок
- Масштаб: 10–20% зміна TVL за кілька блоків—екстремально рідко
- Паттерн: Експлойт часто супроводжується серією tx від одного адреса
- Flash loan: Резкий deposit → immediate withdrawal в тому ж/наступному блоці
Архітектура мониторингу
Blockchain Events → Event Processor → TVL Calculator → Anomaly Detector → Alert Engine → Dashboard
TVL Indexing Per Block
Для кожного нового блоку розраховуємо TVL, порівнюємо з попереднім, виявляємо аномалії.
Статистична детекція
Z-Score Детектор
Аномалія—відхилення, що перевищує N стандартних відхилень від історичного середнього.
Rule-Based Детектор
RAPID_DRAIN: TVL упав >20% за 10 блоків SINGLE_BLOCK_ANOMALY: Зміна за один блок >10% FLASH_LOAN_PATTERN: Великий deposit в попередньому блоці + великий withdrawal сейчас
Метрики для dashboard
Current TVL, 24h Change, TVL Velocity, Largest withdrawal, Anomaly score, Alert history
Мониторинг TVL аномалій—не замісна аудиту, а додатковий слой. Дає шанс реагувати в процесі атаки.