У торгівлі безстроковими контрактами ціна маркування мала б бути справедливим арбітром, але на платформі Hyperliquid вона перетворилася на детонатор бурі ліквідацій. У березні 2025 року малопопулярний токен JELLY з добовим обсягом торгів менше 2 мільйонів доларів викликав багаторазові ліквідації на суму десятки мільйонів доларів. Ця подія не була традиційною хакерською атакою, а була "комплаєнс-експлуатацією" системних правил.
Зловмисники майстерно використали публічну логіку обчислення платформи, алгоритми процесів і механізми управління ризиками, спланувавши "атака без коду", яка не вимагала зміни коду. У цій статті ми детально проаналізуємо системні ризики механізму ціна маркування на ринку безкоштовних контрактів на альткоїни та проведемо детальний повторний аналіз інциденту Jelly-My-Jelly.
Ядро парадоксу безстрокових контрактів: ілюзія безпеки та нахил механізму ліквідації
ціна маркування:помилково вважали безпечну гру консенсусу
Ціна маркування розраховується зазвичай на основі тривального медіанного механізму, побудованого на "індексній ціні":
Ціна маркування = середнє значення (Price1, Price2, остання ціна угоди )
Price1 = індексна ціна × (1 + базис фінансування )
Price2 = індексна ціна + ковзаюча середня база
Остання ціна = Остання ціна маркування на платформі
Цей дизайн спочатку мав на меті усунути аномальні значення та підвищити стабільність цін. Але його безпека повністю базується на одному ключовому припущенні: кількість джерел вхідних даних є достатньою, розподіл є раціональним, ліквідність є високою, і їх важко координовано маніпулювати.
Однак, спотовий ринок більшості альткойнів надзвичайно слабкий. Зловмисники можуть контролювати ціни на кількох платформах з низькою ліквідністю, щоб "забруднити" індексну ціну, вводячи шкідливі дані в ціну маркування. Ця атака може розпочати масове ліквідацію з мінімальними витратами, викликавши ланцюгову реакцію.
Система розрахунків: щит платформи, а також і лезо
Основним критерієм, що викликає ліквідацію, є ціна маркування, а не остання ціна угоди на платформі. Це означає, що навіть якщо поточна ринкова ціна не досягає рівня ліквідації, ліквідація буде негайно запущена, як тільки ця "невидима" ціна маркування буде досягнута.
Ще більш тривожним є механізм "примусового ліквідації". Багато бірж використовують консервативні параметри ліквідації, і навіть якщо ціна ліквідації є кращою за фактичну ціну, при якій збитки зводяться до нуля, платформа зазвичай не повертає цю частину "прибутку від примусової ліквідації", а просто інвестує в страховий фонд. Це призводить до ілюзії у трейдерів, що "у них ще є забезпечення, але вони були ліквідовані завчасно".
Система ліквідації повинна бути нейтральним інструментом управління ризиками, проте в розподілі прибутку, виборі параметрів та логіці спрацьовування вона має тенденцію до монетизації платформи.
ціна маркування失效导致清算引擎失真
На фоні схильності платформи до уникнення втрат, різкі коливання індексної ціни та ціни маркування ще більше загострили раннє визначення моменту примусового закриття позицій.
Ціна маркування теоретично забезпечує справедливу, стійку до маніпуляцій цінову базу шляхом агрегації даних з кількох джерел і алгоритму медіани. Однак ця теорія, можливо, справедлива для широко поширених активів з високою ліквідністю, але при зіткненні з альткойнами з низькою ліквідністю і концентрацією торгових майданчиків її ефективність зазнає серйозних викликів.
Для більшості альткоїнів глибина торгівлі та кількість бірж, на яких вони представлені, дуже обмежені, що робить їхні цінові індекси надзвичайно схильними до "малих наборів даних". Відчуття безпеки, яке приносить "багатоджерельний індекс", заявлений біржею, в світі альткоїнів часто є лише ілюзією.
Дилема оракула: коли ліквідність спот-ринку виснажується та стає зброєю
Ціна маркування базується на індексній ціні, а джерело індексної ціни - це оракул. Незалежно від того, чи це централізовані, чи децентралізовані біржі, оракул виконує роль мосту для передачі інформації між ончейн і оффчейн. Однак цей міст, хоча й є ключовим, стає надзвичайно вразливим під час нестачі ліквідності.
Пророче: з'єднання крихкого мосту між ланцюгом і поза ланцюгом
Оракул – це система проміжного програмного забезпечення, що відповідає за безпечну та надійну передачу даних з поза ланцюга на ланцюг, надаючи "реальні" інформаційні вхідні дані для роботи смарт-контрактів. Проте "чесний" оракул не означає, що він повідомляє "раціональну" ціну. Обов'язком оракула є просто зафіксувати стан зовнішнього світу, який він може спостерігати, він не оцінює, чи відхиляється ціна від фундаментальних показників.
Ця особливість виявляє два абсолютно різних шляхи атаки:
Атака на оракули: шляхом технічних засобів змінити джерело даних або протокол оракула, щоб він повідомляв неправильну ціну.
Маніпуляція ринком: шляхом фактичних дій на зовнішньому ринку, навмисно підвищуючи або знижуючи ціну, тоді як нормально працюючий оракул щиро фіксує та доповідає про цю "маніпульовану" ринкову ціну.
Точка атаки: коли дефіцит ліквідності стає зброєю
Ядром такого нападу є використання слабкої ліквідності цільового активу на спотовому ринку. Для активів з низькою торгівлею навіть невеликі замовлення можуть викликати різкі коливання цін, що дає маніпуляторам можливість діяти.
Детальний опис атакуючого шляху:
Вибір цілей: відбір токенів з низькою ліквідністю та зосередженими джерелами даних оракула.
Залучення капіталу: зазвичай використовується блискавичний кредит для отримання тимчасових великих коштів.
Спот-ринок блиц: за дуже короткий час на всіх біржах, що контролюються оракулом, синхронно подаються великі обсяги покупок.
Ціна маркування зараження: забруднені індексні ціни входять на платформу деривативів, впливаючи на розрахунок ціни маркування, викликаючи масштабне "ліквідацію".
Аналіз структурних ризиків Hyperliquid
HLP Сейф: демократизовані маркет-мейкери та контрагенти злічувальних операцій
Однією з основних інновацій Hyperliquid є його HLP скарбниця — пул коштів, що управляється протоколом та виконує дві функції.
HLP виступає активним маркет-мейкером платформи, дозволяючи користувачам спільноти брати участь в автоматизованих маркет-мейкерських стратегіях платформи. Ця "демократизована" механіка маркет-мейкінгу дозволяє HLP постійно забезпечувати купівельні та продажні пропозиції для багатьох альткойнів з нестачею ліквідності.
Одночасно HLP також виконує роль "підтримки ліквідації стоп-лосса" платформи, тобто є останнім контрагентом ліквідації. Коли позиції з важелем примусово ліквідуються, а на ринку немає достатньої кількості ліквідаторів, готових їх прийняти, протокол автоматично передає ці високоризикові позиції до скарбниці HLP, і це відбувається за ціною, встановленою оракулом.
Цей механізм перетворює HLP на істоту, яка може бути використана детерміновано, абсолютно позбавлену автономної здатності до судження.
структурні недоліки механізму ліквідації
Подія Jelly-My-Jelly виявила смертельну ваду Hyperliquid в умовах екстремального ринку, що походить з внутрішньої фінансової структури та моделі ліквідації HLP трезора.
Під час атаки не існує суворого механізму ізоляції між "резервним пулом ліквідації", що відповідає за обробку ліквідованих позицій, та іншими пулом коштів, що реалізують стратегії маркет-мейкерів. Вони ділять одну й ту ж заставу. Коли коротка позиція атакуючого вартістю 4 мільйони доларів була ліквідована через різке зростання ціни маркування, ця позиція була повністю переміщена до резервного пулу ліквідації.
Хоча резервний пул ліквідації вже зазнав значних збитків, оскільки він може використовувати заставні активи з інших стратегічних пулів у всьому HLP фонді, система вважає, що "загальний стан здоров'я" всього HLP фонду залишається добрим, тому механізм управління ризиками не було активовано. Цей дизайн механізму спільної застави несподівано обійшов цю системну ризикову лінію ADL, що призвело до того, що збитки, які мали б нести ринки в цілому, врешті-решт зосередилися в HLP фонді.
Jelly-My-Jelly повний аналіз атаки
Етап 1: Розміщення — Підступ на 4 мільйони доларів
Злочинець протягом десяти днів до інциденту тестував свою стратегію за допомогою серії малих угод. 26 березня, коли спотова ціна JELLY коливалася близько 0,0095 доларів, злочинець почав реалізацію першої фази. У цьому процесі брали участь кілька гаманців, які, використовуючи метод самостійної торгівлі, створили коротку позицію на ринку безстрокових контрактів JELLY на суму близько 4 мільйонів доларів і підкріпили її загалом 3 мільйонами доларів довгих позицій.
Етап два: Напад —— Блискавична війна на спотовому ринку
Зловмисники одночасно розпочали наступ на купівлю на кількох централізованих і децентралізованих біржах. Ціна JELLY на спот-ринку швидко зросла за короткий проміжок часу, стартуючи з 0,008 доларів, і менш ніж за годину ціна злетіла більше ніж на 500%, досягнувши піку в 0,0517 доларів.
Етап три: Вибух — забруднення оракула та ліквідаційний водоспад
Різкий ріст спотової ціни швидко передався до системи ціни маркування Hyperliquid. Стрибок ціни маркування безпосередньо активував раніше розгорнуті короткі позиції нападника, що призвело до примусового ліквідації. Оскільки HLP казначейство є контрагентом ліквідації платформи, воно безумовно викуповує відповідно до логіки смарт-контракту, вся високо ризикована позиція безпосередньо перенаправляється на HLP.
Етап чотири: Наслідки — Термінове зняття з продажу та ринкові роздуми
У відповідь на величезний тиск з боку ринку та спільноти, вузли-верифікатори Hyperliquid терміново проголосували за кілька заходів: термінове та постійне зняття з торгів JELLY безстрокового контракту; за рахунок фонду провести повну компенсацію всім постраждалим користувачам з неагресивних адрес.
За даними Lookonchain, під час найактивніших атак невиплачені збитки HLP-скарбниці сягнули 12 мільйонів доларів. Незважаючи на те, що Hyperliquid офіційно повідомив, що загальні збитки за 24 години були контрольовані на рівні 700 тисяч доларів, безумовно, вся подія мала глибокий вплив на структуру платформи та систему управління ризиками.
!
"Ціна маркування" та захисна пропозиція в безстрокових контрактах
Атакуюча сторона в події Jelly-My-Jelly не покладалася на складні вразливості контрактів чи криптографічні методи, вони просто розпізнали та використали структурні недоліки математичної системи генерації ціни маркування — невеликі джерела даних, агрегування медіан, фрагментацію ліквідності, а також механізми ліквідації ринку для роботи.
Основна проблема маніпуляцій з ціною маркування полягає в тому:
Висока кореляція даних оракула
Толерантність агрегованого алгоритму до аномальних значень
Проблема "сліпої довіри" в системі розрахунків
Установлення справжньої "стійкості до маніпуляцій" між алгоритмами та іграми є ключовим. ціна маркування не повинна бути "математично правильною, але ігрово крихкою" величиною, а повинна бути продуктом механізму, здатного підтримувати стабільність під тиском реального ринку.
Подія Jelly-My-Jelly є попередженням: без глибокого розуміння структури гри будь-який механізм ліквідації, оснований на "детермінізмі", є потенційним входом для арбітражу. Для того, щоб механізм став зрілим, потрібно не лише швидше зведення угод та вища капітальна ефективність, а й здатність до самоаналізу на рівні дизайну механізму, яка може ідентифікувати та закрити ці системні ризики, які приховані під "математичною естетикою".
Нехай ми завжди зберігаємо в собі повагу до ринку. Математика проста, людина складна. Лише історичні ігри повторюються. Знати, чому так, і знати, чому це так.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
5
Репост
Поділіться
Прокоментувати
0/400
APY追逐者
· 08-12 21:15
Знову хтось скористався ситуацією?
Переглянути оригіналвідповісти на0
DarkPoolWatcher
· 08-11 00:17
Ще один альткоїн, що грає в гру "передача квітки через удар барабана", завершився.
Переглянути оригіналвідповісти на0
DAOTruant
· 08-10 18:07
Прикро, знову група невдах обдурена.
Переглянути оригіналвідповісти на0
GhostAddressMiner
· 08-10 18:06
Ще одна чорна діра для фінансових потоків ціна маркування вже давно потрапила в поле зору
Переглянути оригіналвідповісти на0
GasFeeCrying
· 08-10 17:44
Справді, маленька миша стрибає на великого барана?
Hyperliquid зазнав маніпуляцій з ціною маркування: аналіз шторму ліквідацій безстрокових ф'ючерсів JELLY
Ціна маркування: розгадка шифру Hyperliquid
У торгівлі безстроковими контрактами ціна маркування мала б бути справедливим арбітром, але на платформі Hyperliquid вона перетворилася на детонатор бурі ліквідацій. У березні 2025 року малопопулярний токен JELLY з добовим обсягом торгів менше 2 мільйонів доларів викликав багаторазові ліквідації на суму десятки мільйонів доларів. Ця подія не була традиційною хакерською атакою, а була "комплаєнс-експлуатацією" системних правил.
Зловмисники майстерно використали публічну логіку обчислення платформи, алгоритми процесів і механізми управління ризиками, спланувавши "атака без коду", яка не вимагала зміни коду. У цій статті ми детально проаналізуємо системні ризики механізму ціна маркування на ринку безкоштовних контрактів на альткоїни та проведемо детальний повторний аналіз інциденту Jelly-My-Jelly.
Ядро парадоксу безстрокових контрактів: ілюзія безпеки та нахил механізму ліквідації
ціна маркування:помилково вважали безпечну гру консенсусу
Ціна маркування розраховується зазвичай на основі тривального медіанного механізму, побудованого на "індексній ціні":
Ціна маркування = середнє значення (Price1, Price2, остання ціна угоди )
Цей дизайн спочатку мав на меті усунути аномальні значення та підвищити стабільність цін. Але його безпека повністю базується на одному ключовому припущенні: кількість джерел вхідних даних є достатньою, розподіл є раціональним, ліквідність є високою, і їх важко координовано маніпулювати.
Однак, спотовий ринок більшості альткойнів надзвичайно слабкий. Зловмисники можуть контролювати ціни на кількох платформах з низькою ліквідністю, щоб "забруднити" індексну ціну, вводячи шкідливі дані в ціну маркування. Ця атака може розпочати масове ліквідацію з мінімальними витратами, викликавши ланцюгову реакцію.
Система розрахунків: щит платформи, а також і лезо
Основним критерієм, що викликає ліквідацію, є ціна маркування, а не остання ціна угоди на платформі. Це означає, що навіть якщо поточна ринкова ціна не досягає рівня ліквідації, ліквідація буде негайно запущена, як тільки ця "невидима" ціна маркування буде досягнута.
Ще більш тривожним є механізм "примусового ліквідації". Багато бірж використовують консервативні параметри ліквідації, і навіть якщо ціна ліквідації є кращою за фактичну ціну, при якій збитки зводяться до нуля, платформа зазвичай не повертає цю частину "прибутку від примусової ліквідації", а просто інвестує в страховий фонд. Це призводить до ілюзії у трейдерів, що "у них ще є забезпечення, але вони були ліквідовані завчасно".
Система ліквідації повинна бути нейтральним інструментом управління ризиками, проте в розподілі прибутку, виборі параметрів та логіці спрацьовування вона має тенденцію до монетизації платформи.
ціна маркування失效导致清算引擎失真
На фоні схильності платформи до уникнення втрат, різкі коливання індексної ціни та ціни маркування ще більше загострили раннє визначення моменту примусового закриття позицій.
Ціна маркування теоретично забезпечує справедливу, стійку до маніпуляцій цінову базу шляхом агрегації даних з кількох джерел і алгоритму медіани. Однак ця теорія, можливо, справедлива для широко поширених активів з високою ліквідністю, але при зіткненні з альткойнами з низькою ліквідністю і концентрацією торгових майданчиків її ефективність зазнає серйозних викликів.
Для більшості альткоїнів глибина торгівлі та кількість бірж, на яких вони представлені, дуже обмежені, що робить їхні цінові індекси надзвичайно схильними до "малих наборів даних". Відчуття безпеки, яке приносить "багатоджерельний індекс", заявлений біржею, в світі альткоїнів часто є лише ілюзією.
Дилема оракула: коли ліквідність спот-ринку виснажується та стає зброєю
Ціна маркування базується на індексній ціні, а джерело індексної ціни - це оракул. Незалежно від того, чи це централізовані, чи децентралізовані біржі, оракул виконує роль мосту для передачі інформації між ончейн і оффчейн. Однак цей міст, хоча й є ключовим, стає надзвичайно вразливим під час нестачі ліквідності.
Пророче: з'єднання крихкого мосту між ланцюгом і поза ланцюгом
Оракул – це система проміжного програмного забезпечення, що відповідає за безпечну та надійну передачу даних з поза ланцюга на ланцюг, надаючи "реальні" інформаційні вхідні дані для роботи смарт-контрактів. Проте "чесний" оракул не означає, що він повідомляє "раціональну" ціну. Обов'язком оракула є просто зафіксувати стан зовнішнього світу, який він може спостерігати, він не оцінює, чи відхиляється ціна від фундаментальних показників.
Ця особливість виявляє два абсолютно різних шляхи атаки:
Точка атаки: коли дефіцит ліквідності стає зброєю
Ядром такого нападу є використання слабкої ліквідності цільового активу на спотовому ринку. Для активів з низькою торгівлею навіть невеликі замовлення можуть викликати різкі коливання цін, що дає маніпуляторам можливість діяти.
Детальний опис атакуючого шляху:
Аналіз структурних ризиків Hyperliquid
HLP Сейф: демократизовані маркет-мейкери та контрагенти злічувальних операцій
Однією з основних інновацій Hyperliquid є його HLP скарбниця — пул коштів, що управляється протоколом та виконує дві функції.
HLP виступає активним маркет-мейкером платформи, дозволяючи користувачам спільноти брати участь в автоматизованих маркет-мейкерських стратегіях платформи. Ця "демократизована" механіка маркет-мейкінгу дозволяє HLP постійно забезпечувати купівельні та продажні пропозиції для багатьох альткойнів з нестачею ліквідності.
Одночасно HLP також виконує роль "підтримки ліквідації стоп-лосса" платформи, тобто є останнім контрагентом ліквідації. Коли позиції з важелем примусово ліквідуються, а на ринку немає достатньої кількості ліквідаторів, готових їх прийняти, протокол автоматично передає ці високоризикові позиції до скарбниці HLP, і це відбувається за ціною, встановленою оракулом.
Цей механізм перетворює HLP на істоту, яка може бути використана детерміновано, абсолютно позбавлену автономної здатності до судження.
структурні недоліки механізму ліквідації
Подія Jelly-My-Jelly виявила смертельну ваду Hyperliquid в умовах екстремального ринку, що походить з внутрішньої фінансової структури та моделі ліквідації HLP трезора.
Під час атаки не існує суворого механізму ізоляції між "резервним пулом ліквідації", що відповідає за обробку ліквідованих позицій, та іншими пулом коштів, що реалізують стратегії маркет-мейкерів. Вони ділять одну й ту ж заставу. Коли коротка позиція атакуючого вартістю 4 мільйони доларів була ліквідована через різке зростання ціни маркування, ця позиція була повністю переміщена до резервного пулу ліквідації.
Хоча резервний пул ліквідації вже зазнав значних збитків, оскільки він може використовувати заставні активи з інших стратегічних пулів у всьому HLP фонді, система вважає, що "загальний стан здоров'я" всього HLP фонду залишається добрим, тому механізм управління ризиками не було активовано. Цей дизайн механізму спільної застави несподівано обійшов цю системну ризикову лінію ADL, що призвело до того, що збитки, які мали б нести ринки в цілому, врешті-решт зосередилися в HLP фонді.
Jelly-My-Jelly повний аналіз атаки
Етап 1: Розміщення — Підступ на 4 мільйони доларів
Злочинець протягом десяти днів до інциденту тестував свою стратегію за допомогою серії малих угод. 26 березня, коли спотова ціна JELLY коливалася близько 0,0095 доларів, злочинець почав реалізацію першої фази. У цьому процесі брали участь кілька гаманців, які, використовуючи метод самостійної торгівлі, створили коротку позицію на ринку безстрокових контрактів JELLY на суму близько 4 мільйонів доларів і підкріпили її загалом 3 мільйонами доларів довгих позицій.
Етап два: Напад —— Блискавична війна на спотовому ринку
Зловмисники одночасно розпочали наступ на купівлю на кількох централізованих і децентралізованих біржах. Ціна JELLY на спот-ринку швидко зросла за короткий проміжок часу, стартуючи з 0,008 доларів, і менш ніж за годину ціна злетіла більше ніж на 500%, досягнувши піку в 0,0517 доларів.
Етап три: Вибух — забруднення оракула та ліквідаційний водоспад
Різкий ріст спотової ціни швидко передався до системи ціни маркування Hyperliquid. Стрибок ціни маркування безпосередньо активував раніше розгорнуті короткі позиції нападника, що призвело до примусового ліквідації. Оскільки HLP казначейство є контрагентом ліквідації платформи, воно безумовно викуповує відповідно до логіки смарт-контракту, вся високо ризикована позиція безпосередньо перенаправляється на HLP.
Етап чотири: Наслідки — Термінове зняття з продажу та ринкові роздуми
У відповідь на величезний тиск з боку ринку та спільноти, вузли-верифікатори Hyperliquid терміново проголосували за кілька заходів: термінове та постійне зняття з торгів JELLY безстрокового контракту; за рахунок фонду провести повну компенсацію всім постраждалим користувачам з неагресивних адрес.
За даними Lookonchain, під час найактивніших атак невиплачені збитки HLP-скарбниці сягнули 12 мільйонів доларів. Незважаючи на те, що Hyperliquid офіційно повідомив, що загальні збитки за 24 години були контрольовані на рівні 700 тисяч доларів, безумовно, вся подія мала глибокий вплив на структуру платформи та систему управління ризиками.
!
"Ціна маркування" та захисна пропозиція в безстрокових контрактах
Атакуюча сторона в події Jelly-My-Jelly не покладалася на складні вразливості контрактів чи криптографічні методи, вони просто розпізнали та використали структурні недоліки математичної системи генерації ціни маркування — невеликі джерела даних, агрегування медіан, фрагментацію ліквідності, а також механізми ліквідації ринку для роботи.
Основна проблема маніпуляцій з ціною маркування полягає в тому:
Установлення справжньої "стійкості до маніпуляцій" між алгоритмами та іграми є ключовим. ціна маркування не повинна бути "математично правильною, але ігрово крихкою" величиною, а повинна бути продуктом механізму, здатного підтримувати стабільність під тиском реального ринку.
Подія Jelly-My-Jelly є попередженням: без глибокого розуміння структури гри будь-який механізм ліквідації, оснований на "детермінізмі", є потенційним входом для арбітражу. Для того, щоб механізм став зрілим, потрібно не лише швидше зведення угод та вища капітальна ефективність, а й здатність до самоаналізу на рівні дизайну механізму, яка може ідентифікувати та закрити ці системні ризики, які приховані під "математичною естетикою".
Нехай ми завжди зберігаємо в собі повагу до ринку. Математика проста, людина складна. Лише історичні ігри повторюються. Знати, чому так, і знати, чому це так.