标记价格的谜题：解密 Hyperliquid 清算风暴

永续合约交易中，标记价格本应是公正的裁判，却在 Hyperliquid 平台上演变成了一场清算风暴的导火索。2025年3月，一个日交易额不足200万美元的小众代币 JELLY，引发了数千万美元级别的连环清算。这次事件并非传统意义上的黑客攻击，而是对系统规则的"合规性利用"。

攻击者巧妙利用了平台公开的计算逻辑、算法流程与风控机制，策划了一场无需改动代码的"无代码攻击"。本文将深入剖析山寨币永续合约市场中标记价格机制的系统性风险，并对 Jelly-My-Jelly 攻击事件进行详细复盘。

永续合约的核心悖论：虚假安全感与清算机制倾斜

标记价格：误以为安全的共识游戏

标记价格的计算通常基于"指数价格"构建的三值中位机制：

Mark Price = 中位数 (Price1, Price2, 最新成交价)

• Price1 = 指数价格 × (1 + 资金费率基差)
• Price2 = 指数价格 + 移动平均基差
• 最新成交价 = 平台上的最新成交价格

这种设计本意是剔除异常值、提升价格稳定性。但其安全性完全建立在一个关键假设之上：输入的数据源数量充足、分布合理、流动性强且难以被协同操纵。

然而，大多数山寨币的现货市场极其薄弱。攻击者只需控制几个低流动性平台的价格，就能"污染"指数价格，将恶意数据注入标记价格。这种攻击能以最小成本撬动大规模杠杆清算，引发连锁反应。

清算引擎：平台的盾，也是刃

清算触发的核心标准是标记价格，而非平台自身的最新成交价。这意味着，即使当前市场成交价未触及清算线，只要那个"看不见"的标记价格达到了，清算就会立即启动。

更值得警惕的是"强制平仓"机制。许多交易所采用保守的清算参数，触发强平后即便平仓价格优于实际亏损归零的价格，平台通常也不会返还这部分"强平盈余"，而是直接注入保险基金。这导致交易者产生"明明还有保证金，却被提前清算"的错觉。

清算引擎本应是中性的风控工具，但在收益归属、参数选择、触发逻辑上，却具备了平台利润化的倾向。

标记价格失效导致清算引擎失真

在平台厌恶损失的倾向下，指数价格、标记价格的剧烈波动进一步加剧了强制平仓时机的提前。

标记价格理论上通过聚合多源数据和中位数算法提供公平、抗操纵的价格基准。然而，这一理论在应用于流动性充裕的主流资产时或许成立，但面对流动性稀薄、交易场所集中的山寨币时，其有效性将面临严峻挑战。

对于大多数山寨币而言，其交易深度和上市交易所数量都非常有限，这使得它们的价格指数极易落入"小数据集"的陷阱。交易所声称的"多源指数"所带来的安全感，在山寨币的世界里往往只是一种幻觉。

预言机困境：当现货流动性枯竭成为武器

标记价格的根基是指数价格，而指数价格的源头则是预言机。不论是中心化还是去中心化交易所，预言机承担着链上与链下之间信息传输的桥梁角色。然而，这座桥梁虽然关键，但在流动性匮乏时却异常脆弱。

预言机：连接链上与链下的脆弱桥梁

预言机是一个中间件系统，负责将链下数据安全、可信地传输至链上，为智能合约的运作提供"现实世界"的信息输入。然而，一个"诚实"的预言机，并不意味着它报告的是"合理"的价格。预言机的职责仅是如实记录其所能观察到的外部世界状态，它不判断价格是否偏离基本面。

这一特性揭示了两类截然不同的攻击路径：

1. 预言机攻击：通过技术手段篡改预言机数据源或协议，使其报告错误价格。
2. 市场操纵：通过实际操作外部市场，刻意拉动或压低价格，而正常工作的预言机则如实记录并上报这个"被操控"的市场价格。

攻击的支点：当流动性缺陷成为武器

这类攻击的核心，在于利用目标资产在现货市场上的流动性劣势。对于交易稀薄的资产，即便是小额订单也可能引起价格剧烈波动，从而为操纵者提供可乘之机。

攻击路径详解：

1. 目标选择：筛选流动性低、预言机数据源集中的代币。
2. 资本筹集：通常利用闪电贷获取临时巨额资金。
3. 现货市场闪击：在极短时间内，在所有被预言机监控的交易所同步下达大量买单。
4. 预言机污染：预言机从被操纵的交易所中读取价格，得出被严重污染的指数价格。
5. 标记价格感染：受污染的指数价格进入衍生品平台，影响标记价格计算，触发大规模"清算"。

Hyperliquid 的结构性风险剖析

HLP 金库：民主化的做市商与清算对手盘

Hyperliquid 的核心创新之一是其 HLP 金库 —— 一个由协议统一管理、肩负双重职能的资金池。

HLP 充当平台的主动做市商，允许社区用户参与平台的自动化做市策略。这套"民主化"做市机制，使 HLP 能够为众多流动性匮乏的山寨币持续提供买卖盘口。

同时，HLP 还承担着平台的"清算止损后盾"，即最后的清算对手方。当杠杆仓位被强制平仓，而市场中没有足够清算人愿意接盘时，协议会自动将这些高风险仓位转嫁给 HLP 金库，而且是按照预言机的价格照单全收。

这种机制使 HLP 变成了一个可以被确定性利用的、完全没有自主判断能力的接盘实体。

清算机制的结构性缺陷

Jelly-My-Jelly 事件暴露了 Hyperliquid 在极端市场条件下的一个致命漏洞，其根源是 HLP 金库内部的资金架构和清算模式。

在攻击发生时，专责处理被清算仓位的"清算储备池"与其他执行做市等策略的资金池之间，并无严格的隔离机制。它们共享同一笔抵押品。当攻击者价值 400 万美元的空头仓位因标记价格飙升而被清算时，该仓位被完整转移至清算储备池。

虽然清算储备池自身已经陷入深度亏损，但由于它可以调用整个 HLP 金库中其他策略池的抵押资产，系统判定整个 HLP 金库"整体健康度"依然良好，因而没有触发风控机制。这种共享抵押机制的设计，意外绕过了 ADL 这一系统性风险防线，使本应由市场整体承担的损失，最终集中爆发于 HLP 金库之中。

Jelly-My-Jelly 攻击的完整复盘

阶段一：布局 —— 价值 400 万美元的空头陷阱

攻击者在事发前长达十天内，通过一系列小规模交易测试策略。3 月 26 日，JELLY 的现货价格在 0.0095 美元附近震荡时，攻击者开始实施第一阶段。多个钱包地址参与其中，通过自我交易方式，在 JELLY 的永续合约市场上构建了一个价值约 400 万美元的空头头寸，并辅以总计 300 万美元的多头对敲仓位。

阶段二：突袭 —— 现货市场的闪电战

攻击者在多个中心化和去中心化交易所同步发起买入攻势。JELLY 现货价格在短时间内被迅速拉升，从 0.008 美元起涨，不到一小时价格飙升超 500%，触及 0.0517 美元的峰值。

阶段三：引爆 —— 预言机污染与清算瀑布

现货价格的剧烈拉升迅速传导至 Hyperliquid 的标记价格系统。标记价格的跳涨直接引爆了攻击者先前部署的空头仓位，触发了强制清算。由于 HLP 金库作为平台的清算对手方，根据智能合约逻辑无条件接盘，整个高风险仓位直接压向 HLP。

阶段四：余波 —— 紧急下架与市场反思

面对来自市场和社区的巨大压力，Hyperliquid 验证者节点紧急投票，通过多项应对措施：立即并永久下架 JELLY 永续合约；由基金会出资，对所有非攻击地址的受影响用户进行全额补偿。

据 Lookonchain 数据，在攻击最激烈时，HLP 金库的未实现亏损一度高达 1,200 万美元。尽管 Hyperliquid 官方最终报告 24 小时内总损失控制在 70 万美元，但整个事件对平台结构与风控体系的冲击无疑是深远的。

永续合约的"标记幻象"与防御命题

Jelly-My-Jelly 事件中的攻击者并未依赖复杂的合约漏洞或加密学手段，他们只是识破并利用了标记价格生成机制的数学结构性缺陷 —— 小数据源、中位数聚合、流动性碎片化，并且集合市场的清算机制来运作。

标记价格操控的根本问题在于：

1. 预言机数据的高度相关性
2. 聚合算法对异常值的容忍性
3. 清算系统的"盲信"问题

在算法与博弈之间，建立真正的"抗操纵性"是关键。标记价格不应该是一个"数学上正确但博弈上脆弱"的值，而应是一个能在真实市场压力下维持稳定性的机制产物。

Jelly-My-Jelly 事件是一个警告：在没有深入理解博弈结构之前，任何基于"确定性"的清算机制，都是潜在的套利入口。机制走向成熟，需要的不仅是更快的撮合速度和更高的资本效率，更需要一种机制设计层面的自省能力，能识别并堵住这些被"数学美感"掩盖的系统性风险。

愿我们始终保持着一颗敬畏市场之心。数学是单纯的，人是复杂的。只有历史博弈是重复的。知其然，且知其所以然。