De l'algorithme au jeu : le risque structurel du prix de marque des Futures Perpétuel
En mars 2025, un jeton de niche JELLY avec un volume de négociation inférieur à 2 millions de dollars a déclenché une tempête de liquidation de plusieurs millions de dollars sur la plateforme Hyperliquid. Ce n'est pas une attaque de hacker au sens traditionnel, mais plutôt une "attaque de conformité" des règles du système. L'attaquant a habilement exploité la logique de calcul et le mécanisme de gestion des risques publics de la plateforme, transformant le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sécurisé" sur le marché, en une arme meurtrière.
Cet incident révèle le risque systémique du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins, exposant l'asymétrie inhérente à la protection des fonds des utilisateurs par la logique de liquidation dominante dans des situations extrêmes. Cet article analysera en profondeur, à la fois sur le plan théorique et pratique, les principes sous-jacents de cet événement et ses implications pour l'industrie.
Paradoxe central des Futures Perpétuel : la déviation du mécanisme de liquidation causée par un faux sentiment de sécurité
prix de marque: une partie de jeu de consensus mal perçue comme sûre
Le calcul du prix de marque utilise généralement un mécanisme de médiane à trois valeurs, construit autour du "prix d'indice". Le prix d'indice est obtenu par la moyenne pondérée des prix de plusieurs plateformes de spot mainstream, visant à fournir un prix de référence équitable entre les plateformes.
La méthode typique de calcul du prix de marque est :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Dont :
Price1 = prix de marque × (1 + taux de financement de la base )
Price2 = prix d'indice + écart moyen mobile
Last Traded Price = prix de marque
La sécurité de ce design repose sur une hypothèse clé : le nombre de sources de données d'entrée est suffisant, leur répartition est raisonnable, leur liquidité est forte et il est difficile de les manipuler de manière collusive. Cependant, dans la plupart des marchés au comptant des altcoins, cette hypothèse n'est pas valable. Un attaquant n'a qu'à contrôler le prix de quelques plateformes à faible liquidité pour "polluer" le prix de l'indice, injectant des données malveillantes dans le prix de marque par le biais de formules.
Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Le moteur de liquidation utilise le prix de marque comme critère central de déclenchement. Même si le prix de transaction du marché actuel n'a pas encore atteint la ligne de liquidation, dès que le prix de marque est atteint, la liquidation sera immédiatement déclenchée. Il convient de faire particulièrement attention au mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation conservateurs, et après le déclenchement de la liquidation forcée, même si le prix de liquidation est meilleur que le prix de perte réelle à zéro, la plateforme ne restituera généralement pas cette partie du "bénéfice de liquidation forcée".
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Afin de se couvrir contre les risques, la plateforme ajustera la ligne de liquidation de manière plus conservatrice, rendant plus probable que les positions soient "liquidées à l'avance" lors des fluctuations de prix. Le moteur de liquidation devrait être un outil de gestion des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il a tendance à favoriser la rentabilité de la plateforme.
La défaillance du prix de marque entraîne une distorsion du moteur de liquidation
Dans le cas des actifs majeurs avec une liquidité abondante, la théorie du prix de marque peut être valide. Cependant, pour les altcoins avec une liquidité faible et des lieux de négociation concentrés, son efficacité fait face à de sérieux défis.
Efficacité dans de grands ensembles de données : Supposons que l'indice des prix contienne 10 sources de données indépendantes et très liquides, l'algorithme de médiane peut facilement identifier et ignorer les offres extrêmes.
Vulnérabilités dans de petits ensembles de données : en prenant l'exemple d'un scénario typique de cryptomonnaie.
Scénario à trois sources de données : si l'indice ne contient que les prix au comptant des trois bourses (A, B, C). Un acteur malveillant manipule simultanément les prix de A et B, peu importe la véracité du prix de C, la médiane sera déterminée par les prix manipulés.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est équivalente à la moyenne, perdant ainsi complètement la capacité d'exclure les valeurs aberrantes.
Pour la plupart des altcoins, la profondeur de leurs transactions et le nombre d'échanges listés sont limités, ce qui les rend susceptibles de tomber dans le piège des "petits ensembles de données". La sécurité prétendue des "indices multi-sources" des échanges n'est souvent qu'une illusion dans le monde des altcoins.
Dilemme des oracles : quand la liquidité des spots s'épuise et devient une arme
L'oracle joue le rôle de pont entre la transmission d'informations sur la chaîne et hors de la chaîne. Cependant, ce pont est extrêmement fragile en cas de manque de liquidité.
Oracles : le fragile pont entre la chaîne et l'extérieur
Un oracle est un système intermédiaire qui transmet en toute sécurité des données hors chaîne vers la chaîne. Un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Cette caractéristique révèle deux types de chemins d'attaque :
Attaque de l'oracle : altération des sources de données ou des protocoles de l'oracle par des moyens techniques.
Manipulation du marché : en agissant sur des marchés externes, en faisant délibérément monter ou descendre les prix, les oracles enregistrent et rapportent fidèlement ce prix de marché "manipulé".
Le dernier est la substance des événements Mango Markets et Jelly-My-Jelly : la "fenêtre d'observation" des oracles a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, de petits ordres peuvent provoquer de fortes fluctuations de prix.
L'attaque de Mango Markets en octobre 2022 est un exemple parfait. L'attaquant a profité de l'extrême épuisement de la liquidité du jeton MNGO, avec un volume de transactions de moins de 100 000 dollars le (, en investissant environ 4 millions de dollars pour acheter, réussissant à faire grimper le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré par l'oracle et transmis au protocole en chaîne, entraînant une explosion du montant des prêts qu'il pouvait accorder, permettant finalement de "vider légalement" tous les actifs de la plateforme, soit environ 116 millions de dollars le ).
Analyse détaillée des chemins d'attaque :
Sélection des cibles : sélectionnez les jetons dont les contrats à terme perpétuels sont lancés sur des plateformes de dérivés grand public, dont les prix des oracles proviennent d'exchanges au comptant à faible liquidité connus et dont le volume quotidien des transactions est faible.
Levée de fonds : La plupart des attaquants obtiennent des fonds temporaires massifs via un "prêt éclair".
Marché au comptant en éclair : Passer un grand nombre d'ordres d'achat synchronisés sur toutes les bourses surveillées par l'oracle en un temps très court.
Pollution des oracles : les oracles lisent les prix des échanges manipulés, ce qui entraîne une pollution grave des prix indexés.
Prix de marque infecté : l'indice de prix contaminé entre sur la plateforme de dérivés, impactant le calcul du prix de marque. Le moteur de liquidation évalue mal la zone de risque, déclenchant une "liquidation" à grande échelle.
Les attaquants peuvent utiliser les mécanismes d'oracles publics de la plateforme, les poids des sources de données, la fréquence de mise à jour des prix, etc., pour calculer avec précision combien de fonds investir dans chaque bourse ayant la liquidité la plus faible, afin de déformer au maximum l'indice pondéré final.
Analyse des risques structurels de Hyperliquid
L'incident Jelly-My-Jelly peut se produire sur Hyperliquid et causer des conséquences graves, la cause fondamentale résidant dans l'architecture de liquidité et le mécanisme de liquidation propres à cette plateforme. Ces conceptions, destinées à améliorer l'expérience utilisateur et l'efficacité du capital, offrent aux attaquants un "terrain de chasse" idéal.
( HLP Trésorerie : teneurs de marché et contreparties de liquidation démocratisés
Le coffre HLP de Hyperliquid est un pool de liquidités géré de manière unifiée par le protocole, portant une double fonction :
En tant que teneur de marché actif de la plateforme, permettez aux utilisateurs de la communauté de participer à des stratégies de teneur de marché automatisées.
Assumer le "coussin de stop-loss de liquidation" de la plateforme, en tant que dernière contrepartie de liquidation.
Ce design fait de HLP un entité de reprise qui peut être utilisée de manière déterministe, sans aucune capacité de jugement autonome. Les attaquants peuvent prédire qui reprendra sa "position toxique" une fois que la liquidation est déclenchée - un système automatisé qui exécute la logique des contrats intelligents, agissant à 100 % selon les règles.
) Défauts structurels du mécanisme de liquidation
L'événement Jelly-My-Jelly a exposé la vulnérabilité mortelle de Hyperliquid dans des conditions de marché extrêmes :
La structure interne des fonds du coffre HLP manque de mécanismes d'isolement, le pool de réserve de liquidation partage les garanties avec d'autres pools de stratégie.
Lorsque le pool de réserve de liquidation subit des pertes importantes, étant donné que les actifs collatéraux du HLP peuvent être appelés dans leur intégralité, le système détermine que la santé globale est bonne et que le mécanisme de réduction automatique ADL### n'a pas été déclenché.
Ce mécanisme de partage des collatéraux contourne cette ligne de défense systémique qu'est l'ADL, provoquant une explosion concentrée des pertes qui auraient dû être supportées par l'ensemble du marché dans le coffre HLP.
Revue complète de l'attaque Jelly-My-Jelly
Phase 1 : Mise en place - Piège à short d'une valeur de 4 millions de dollars
L'attaquant a testé sa stratégie par de petites transactions dix jours avant l'incident.
Le 26 mars, lorsque le prix de JELLY était autour de 0,0095 dollars, l'attaquant a commencé à mettre en œuvre.
Construire une position courte d'environ 4 millions de dollars par auto-négociation, accompagnée d'une position longue de 3 millions de dollars en transaction croisée.
L'objectif est d'augmenter l'open interest des contrats non réglés (OI), afin d'éviter de provoquer des fluctuations anormales du marché.
( Phase 2 : Raid - Blitz sur le marché au comptant
La capitalisation boursière de JELLY n'est que d'environ 15 millions de dollars, la profondeur du marché à 1 % n'est que de 72 000 dollars.
Les attaquants lancent une offensive d'achats synchronisée sur plusieurs échanges.
Le prix de JELLY a commencé à augmenter à partir de 0,008 USD, grimpant de plus de 500 % en moins d'une heure, atteignant 0,0517 USD.
Le volume de transactions quotidien de Bybit a dépassé 150 millions de dollars, établissant un nouveau record historique.
) Phase trois : déclenchement - Pollution par oracle et cascade de liquidation
Le prix au comptant a fortement augmenté et s'est rapidement transmis au système de prix de marque de Hyperliquid.
Le prix de marque a explosé, déclenchant la position courte de 4 millions de dollars précédemment déployée par l'attaquant.
Le coffre HLP agit en tant que contrepartie de règlement en acceptant sans condition, le système de règlement n'ayant pas déclenché le mécanisme ADL pour répartir les risques.
L'attaquant a réussi à "socialiser" la perte de liquidation, faisant payer les fournisseurs de liquidité HLP.
Phase quatre : répercussions - Retrait d'urgence et réflexion sur le marché
Binance et OKX ont presque simultanément lancé le contrat à terme JELLY, interprété comme une "opportunité de profit" sur Hyperliquid.
Hyperliquid a adopté des mesures d'urgence: retrait permanent du contrat à terme perpétuel JELLY; compensation intégrale des utilisateurs non attaquants.
Les pertes non réalisées du coffre HLP ont atteint jusqu'à 12 millions de dollars, le rapport officiel final a contrôlé la perte totale à 700 000 dollars dans les 24 heures.
Conclusion : l'"illusion de marque" des Futures Perpétuel et la proposition de défense
Les attaquants de l'événement Jelly-My-Jelly ont exploité les défauts structurels mathématiques du mécanisme de génération de prix de marque : petites sources de données, agrégation de médianes, fragmentation de la liquidité, et ont opéré en combinant cela avec le mécanisme de liquidation du marché. Cette attaque ne nécessite pas de techniques complexes, mais seulement une compréhension approfondie de la logique du protocole.
Le problème fondamental de la manipulation du prix de marque est le suivant :
Haute corrélation des données des oracles
Tolerance des valeurs aberrantes par l'algorithme d'agrégation
Le système de liquidation fait "aveuglément confiance" au prix de marque
Établir une véritable "résistance à la manipulation" entre les algorithmes et les jeux est un enjeu important dans le domaine de la DeFi. L'incident Jelly-My-Jelly nous avertit : avant de comprendre en profondeur la structure du jeu, tout mécanisme de liquidation basé sur la "détermination" est une entrée potentielle pour l'arbitrage. La conception des mécanismes nécessite une capacité d'introspection, capable d'identifier et de bloquer les risques systémiques dissimulés par la "beauté mathématique".
Puissions-nous toujours garder un respect pour le marché. Les mathématiques sont simples, l'homme est complexe. Seule l'histoire des jeux se répète. Savoir que c'est ainsi, et savoir pourquoi c'est ainsi.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
4
Partager
Commentaire
0/400
TokenRationEater
· Il y a 16h
Encore des alts Couper les coupons, c'est plutôt amusant.
Voir l'originalRépondre0
MeaninglessGwei
· Il y a 16h
prix de marque挂了 现在全是🌿 spx
Voir l'originalRépondre0
HalfPositionRunner
· Il y a 16h
Ha, cette opportunité a été repérée, 2 millions pour déclencher des niveaux de dizaines de millions, tu es vraiment fort.
Risques structurels du prix de marque des contrats à terme perpétuels : Analyse de l'algorithme et du jeu à partir de l'événement Jelly-My-Jelly
De l'algorithme au jeu : le risque structurel du prix de marque des Futures Perpétuel
En mars 2025, un jeton de niche JELLY avec un volume de négociation inférieur à 2 millions de dollars a déclenché une tempête de liquidation de plusieurs millions de dollars sur la plateforme Hyperliquid. Ce n'est pas une attaque de hacker au sens traditionnel, mais plutôt une "attaque de conformité" des règles du système. L'attaquant a habilement exploité la logique de calcul et le mécanisme de gestion des risques publics de la plateforme, transformant le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sécurisé" sur le marché, en une arme meurtrière.
Cet incident révèle le risque systémique du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins, exposant l'asymétrie inhérente à la protection des fonds des utilisateurs par la logique de liquidation dominante dans des situations extrêmes. Cet article analysera en profondeur, à la fois sur le plan théorique et pratique, les principes sous-jacents de cet événement et ses implications pour l'industrie.
Paradoxe central des Futures Perpétuel : la déviation du mécanisme de liquidation causée par un faux sentiment de sécurité
prix de marque: une partie de jeu de consensus mal perçue comme sûre
Le calcul du prix de marque utilise généralement un mécanisme de médiane à trois valeurs, construit autour du "prix d'indice". Le prix d'indice est obtenu par la moyenne pondérée des prix de plusieurs plateformes de spot mainstream, visant à fournir un prix de référence équitable entre les plateformes.
La méthode typique de calcul du prix de marque est :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Dont :
La sécurité de ce design repose sur une hypothèse clé : le nombre de sources de données d'entrée est suffisant, leur répartition est raisonnable, leur liquidité est forte et il est difficile de les manipuler de manière collusive. Cependant, dans la plupart des marchés au comptant des altcoins, cette hypothèse n'est pas valable. Un attaquant n'a qu'à contrôler le prix de quelques plateformes à faible liquidité pour "polluer" le prix de l'indice, injectant des données malveillantes dans le prix de marque par le biais de formules.
Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Le moteur de liquidation utilise le prix de marque comme critère central de déclenchement. Même si le prix de transaction du marché actuel n'a pas encore atteint la ligne de liquidation, dès que le prix de marque est atteint, la liquidation sera immédiatement déclenchée. Il convient de faire particulièrement attention au mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation conservateurs, et après le déclenchement de la liquidation forcée, même si le prix de liquidation est meilleur que le prix de perte réelle à zéro, la plateforme ne restituera généralement pas cette partie du "bénéfice de liquidation forcée".
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Afin de se couvrir contre les risques, la plateforme ajustera la ligne de liquidation de manière plus conservatrice, rendant plus probable que les positions soient "liquidées à l'avance" lors des fluctuations de prix. Le moteur de liquidation devrait être un outil de gestion des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il a tendance à favoriser la rentabilité de la plateforme.
La défaillance du prix de marque entraîne une distorsion du moteur de liquidation
Dans le cas des actifs majeurs avec une liquidité abondante, la théorie du prix de marque peut être valide. Cependant, pour les altcoins avec une liquidité faible et des lieux de négociation concentrés, son efficacité fait face à de sérieux défis.
Efficacité dans de grands ensembles de données : Supposons que l'indice des prix contienne 10 sources de données indépendantes et très liquides, l'algorithme de médiane peut facilement identifier et ignorer les offres extrêmes.
Vulnérabilités dans de petits ensembles de données : en prenant l'exemple d'un scénario typique de cryptomonnaie.
Pour la plupart des altcoins, la profondeur de leurs transactions et le nombre d'échanges listés sont limités, ce qui les rend susceptibles de tomber dans le piège des "petits ensembles de données". La sécurité prétendue des "indices multi-sources" des échanges n'est souvent qu'une illusion dans le monde des altcoins.
Dilemme des oracles : quand la liquidité des spots s'épuise et devient une arme
L'oracle joue le rôle de pont entre la transmission d'informations sur la chaîne et hors de la chaîne. Cependant, ce pont est extrêmement fragile en cas de manque de liquidité.
Oracles : le fragile pont entre la chaîne et l'extérieur
Un oracle est un système intermédiaire qui transmet en toute sécurité des données hors chaîne vers la chaîne. Un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Cette caractéristique révèle deux types de chemins d'attaque :
Le dernier est la substance des événements Mango Markets et Jelly-My-Jelly : la "fenêtre d'observation" des oracles a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, de petits ordres peuvent provoquer de fortes fluctuations de prix.
L'attaque de Mango Markets en octobre 2022 est un exemple parfait. L'attaquant a profité de l'extrême épuisement de la liquidité du jeton MNGO, avec un volume de transactions de moins de 100 000 dollars le (, en investissant environ 4 millions de dollars pour acheter, réussissant à faire grimper le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré par l'oracle et transmis au protocole en chaîne, entraînant une explosion du montant des prêts qu'il pouvait accorder, permettant finalement de "vider légalement" tous les actifs de la plateforme, soit environ 116 millions de dollars le ).
Analyse détaillée des chemins d'attaque :
Sélection des cibles : sélectionnez les jetons dont les contrats à terme perpétuels sont lancés sur des plateformes de dérivés grand public, dont les prix des oracles proviennent d'exchanges au comptant à faible liquidité connus et dont le volume quotidien des transactions est faible.
Levée de fonds : La plupart des attaquants obtiennent des fonds temporaires massifs via un "prêt éclair".
Marché au comptant en éclair : Passer un grand nombre d'ordres d'achat synchronisés sur toutes les bourses surveillées par l'oracle en un temps très court.
Pollution des oracles : les oracles lisent les prix des échanges manipulés, ce qui entraîne une pollution grave des prix indexés.
Prix de marque infecté : l'indice de prix contaminé entre sur la plateforme de dérivés, impactant le calcul du prix de marque. Le moteur de liquidation évalue mal la zone de risque, déclenchant une "liquidation" à grande échelle.
Les attaquants peuvent utiliser les mécanismes d'oracles publics de la plateforme, les poids des sources de données, la fréquence de mise à jour des prix, etc., pour calculer avec précision combien de fonds investir dans chaque bourse ayant la liquidité la plus faible, afin de déformer au maximum l'indice pondéré final.
Analyse des risques structurels de Hyperliquid
L'incident Jelly-My-Jelly peut se produire sur Hyperliquid et causer des conséquences graves, la cause fondamentale résidant dans l'architecture de liquidité et le mécanisme de liquidation propres à cette plateforme. Ces conceptions, destinées à améliorer l'expérience utilisateur et l'efficacité du capital, offrent aux attaquants un "terrain de chasse" idéal.
( HLP Trésorerie : teneurs de marché et contreparties de liquidation démocratisés
Le coffre HLP de Hyperliquid est un pool de liquidités géré de manière unifiée par le protocole, portant une double fonction :
Ce design fait de HLP un entité de reprise qui peut être utilisée de manière déterministe, sans aucune capacité de jugement autonome. Les attaquants peuvent prédire qui reprendra sa "position toxique" une fois que la liquidation est déclenchée - un système automatisé qui exécute la logique des contrats intelligents, agissant à 100 % selon les règles.
) Défauts structurels du mécanisme de liquidation
L'événement Jelly-My-Jelly a exposé la vulnérabilité mortelle de Hyperliquid dans des conditions de marché extrêmes :
Revue complète de l'attaque Jelly-My-Jelly
Phase 1 : Mise en place - Piège à short d'une valeur de 4 millions de dollars
( Phase 2 : Raid - Blitz sur le marché au comptant
) Phase trois : déclenchement - Pollution par oracle et cascade de liquidation
Phase quatre : répercussions - Retrait d'urgence et réflexion sur le marché
![]###https://img-cdn.gateio.im/webp-social/moments-d2d38f5e229eee96ccd07700caa11b05.webp###
Conclusion : l'"illusion de marque" des Futures Perpétuel et la proposition de défense
Les attaquants de l'événement Jelly-My-Jelly ont exploité les défauts structurels mathématiques du mécanisme de génération de prix de marque : petites sources de données, agrégation de médianes, fragmentation de la liquidité, et ont opéré en combinant cela avec le mécanisme de liquidation du marché. Cette attaque ne nécessite pas de techniques complexes, mais seulement une compréhension approfondie de la logique du protocole.
Le problème fondamental de la manipulation du prix de marque est le suivant :
Établir une véritable "résistance à la manipulation" entre les algorithmes et les jeux est un enjeu important dans le domaine de la DeFi. L'incident Jelly-My-Jelly nous avertit : avant de comprendre en profondeur la structure du jeu, tout mécanisme de liquidation basé sur la "détermination" est une entrée potentielle pour l'arbitrage. La conception des mécanismes nécessite une capacité d'introspection, capable d'identifier et de bloquer les risques systémiques dissimulés par la "beauté mathématique".
Puissions-nous toujours garder un respect pour le marché. Les mathématiques sont simples, l'homme est complexe. Seule l'histoire des jeux se répète. Savoir que c'est ainsi, et savoir pourquoi c'est ainsi.