Quand le prix de marque devient une arme : Analyse de la tempête de liquidations en série de Hyperliquid
En mars 2025, une tempête de liquidation choquante a balayé le marché des cryptomonnaies sur la plateforme Hyperliquid. Un jeton de niche, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une réaction en chaîne de plusieurs millions de dollars. Ce qui rend cet événement unique, c'est que l'attaquant n'a pas exploité des vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité central de la plateforme — prix de marque — en une arme d'attaque précise.
Ce n'est pas une intrusion de hacker, mais une "attaque de conformité" sur les règles du système. L'attaquant a habilement exploité la logique de calcul, les processus algorithmiques et les mécanismes de gestion des risques rendus publics par la plateforme, créant une "attaque sans code" dévastatrice. Le prix de marque, qui aurait dû être la pierre angulaire de la "neutralité et de la sécurité" du marché, est devenu dans cet événement une arme.
Le paradoxe central des contrats perpétuels : biais du mécanisme de liquidation causé par un faux sentiment de sécurité
prix de marque : erreur de croire que c'est un jeu de consensus sécurisé
Pour comprendre comment le prix de marque devient un point d'entrée pour les attaques, il est d'abord nécessaire d'analyser sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une bourse à l'autre, le principe de base est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix indice".
Le prix indiciel est la pierre angulaire du prix de marque, généralement calculé par la moyenne pondérée des prix de plusieurs plateformes de spot populaires. Une méthode typique de calcul du prix de marque est la suivante :
prix de marque = médiane(prix1, prix2, dernier prix de transaction)
Prix 1 = Prix indiciel × (1 + Écart de taux de financement )
Prix 2 = Prix d'indice + Écart de moyenne mobile
Prix de marque = dernier prix de transaction sur la plateforme des produits dérivés
L'introduction de la médiane était à l'origine destinée à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Mais la sécurité de ce design repose entièrement sur une hypothèse clé : la quantité de sources de données d'entrée est suffisante, leur distribution est raisonnable, la liquidité est forte et il est difficile d'être manipulé de manière coordonnée.
Cependant, dans la réalité, le marché au comptant de la plupart des altcoins est extrêmement faible. Une fois qu'un attaquant peut manipuler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, permettant ainsi d'injecter des données malveillantes dans le prix de marque par le biais d'une formule légitime. Cette attaque peut déclencher des liquidations massives de leviers à un coût minimal, provoquant un effet domino.
Moteur de règlement : l'épée à double tranchant de la plateforme
Le moteur de liquidation est le composant central de gestion des risques de la plateforme de trading. Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation se met en marche.
Il est important de noter que le critère central déclenchant la liquidation est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint le seuil de liquidation, dès que ce "prix de marque" "invisible" atteint le seuil, la liquidation sera immédiatement déclenchée.
Il est d'autant plus inquiétant que le mécanisme de "liquidation forcée" soit en place. De nombreuses plateformes d'échange adoptent souvent des paramètres de liquidation conservateurs pour éviter le risque de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est supérieur au prix de perte réelle ramené à zéro, la plateforme ne restitue généralement pas cette partie de "l'excédent de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion que "même s'il y a encore une marge, ils sont liquidés prématurément", avec un compte qui tombe directement à zéro.
Dilemme de l'oracle : quand la liquidité du marché au comptant s'épuise et devient une arme
Le prix de marque est fondé sur le prix indiciel, dont la source est l'oracle. Que ce soit pour les échanges centralisés ou décentralisés, les oracles jouent le rôle de pont pour la transmission d'informations entre la chaîne et l'extérieur. Cependant, bien que ce pont soit crucial, il est extrêmement fragile en période de manque de liquidité.
Oracles : un pont fragile reliant la chaîne et l'extérieur.
Les systèmes de blockchain sont essentiellement fermés et déterministes, et les contrats intelligents ne peuvent pas accéder activement aux données externes à la chaîne. Les oracles de prix ont vu le jour, ils constituent un système intermédiaire chargé de transmettre de manière sécurisée et fiable des données hors chaîne vers la chaîne, fournissant des informations "du monde réel" pour le fonctionnement des contrats intelligents.
Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le devoir de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, il ne juge pas si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Attaque d'oracle : l'attaquant altère la source de données ou le protocole de l'oracle par des moyens techniques, rendant compte d'un prix incorrect.
Manipulation du marché : les attaquants manipulent le marché externe par des opérations réelles, en faisant intentionnellement monter ou baisser les prix, tandis que l'oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché "manipulé".
Le dernier point est l'essence des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de l'inconvénient de liquidité des actifs ciblés sur le marché au comptant. Pour les actifs à faible volume d'échanges, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
Le chemin d'attaque comprend généralement les étapes suivantes :
Sélection des objectifs : filtrer les jetons cibles qui répondent aux critères.
Levée de fonds : obtenir des fonds temporaires massifs par le biais de prêts éclair.
Marché au comptant en éclaire : Passer simultanément un grand nombre d'ordres d'achat sur plusieurs bourses en très peu de temps.
Pollution des oracles : Les oracles lisent les prix à partir d'échanges manipulés, aboutissant à des prix d'index pollués.
Infection du prix de marque : un prix d'indice contaminé pénètre sur la plateforme de dérivés, affectant le calcul du prix de marque et déclenchant un grand nombre de liquidations.
Analyse des risques structurels de Hyperliquid
L'architecture de liquidité unique et le mécanisme de règlement de la plateforme Hyperliquid offrent aux attaquants un "terrain de chasse" idéal.
HLP Caisse : un teneur de marché et un contrepartiste de compensation démocratisés
L'une des innovations clés d'Hyperliquid est son coffre HLP — un pool de fonds géré de manière unifiée par le protocole, ayant une double fonction. Le HLP agit en tant que teneur de marché actif de la plateforme, tout en jouant également le rôle de "soutien à la liquidation des pertes" de la plateforme.
Ce design permet même à des tokens de petite capitalisation et de liquidité extrêmement faible comme JELLY de soutenir des positions de levier de plusieurs millions de dollars sur Hyperliquid. Cependant, ce mécanisme transforme également HLP en une entité de reprise qui peut être exploitée de manière déterministe, sans aucune capacité de jugement autonome.
défaut structurel du mécanisme de liquidation
L'événement Jelly-My-Jelly a révélé une faille fatale de Hyperliquid dans des conditions de marché extrêmes. Lorsque la position short d'une valeur de 4 millions de dollars a été liquidée en raison d'une flambée du prix de marque, cette position a été entièrement transférée au fonds de liquidation.
En raison du fait que le pool de réserve de liquidation peut appeler les actifs collatéraux d'autres pools de stratégie dans l'ensemble du coffre-fort HLP, le système détermine que "l'état de santé global" de l'ensemble du coffre-fort HLP reste bon, ce qui n'a donc pas déclenché le mécanisme de contrôle des risques. Cette conception du mécanisme de collatéral partagé a, par inadvertance, contourné la ligne de défense systémique qu'est la réduction automatique de position (ADL), faisant ainsi que les pertes qui auraient dû être supportées par l'ensemble du marché se concentrent finalement dans le coffre-fort HLP.
Récapitulatif complet de l'attaque Jelly-My-Jelly
Le 26 mars 2025, une attaque minutieusement planifiée s'est déroulée sur Hyperliquid, visant directement Jelly-My-Jelly (JELLY).
Phase 1 : mise en place
Les attaquants ont effectué des tests de stratégie pendant dix jours avant l'incident. Le 26 mars, lorsque le prix de JELLY oscillait autour de 0,0095 $, les attaquants ont commencé à mettre en œuvre la première phase. En utilisant des transactions auto-réalisées, ils ont construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des contrats perpétuels de JELLY, accompagnée de positions longues d'un total de 3 millions de dollars.
Étape deux : raid
L'attaque entre dans sa deuxième phase : augmentation rapide du prix au comptant. La capitalisation boursière de JELLY n'est que d'environ 15 millions de dollars, et le carnet de commandes est extrêmement mince. Les attaquants lancent simultanément des offensives d'achat sur plusieurs échanges, le prix au comptant de JELLY étant rapidement augmenté de plus de 500 % en peu de temps, atteignant un pic de 0,0517 dollar.
Phase trois : explosion
La forte augmentation du prix au comptant s'est rapidement transmise au système de prix de marque de Hyperliquid. La flambée du prix de marque a directement déclenché les positions de vente à découvert précédemment déployées par l'attaquant, entraînant une liquidation forcée. Étant donné que le coffre HLP prend sans condition le rôle de contrepartie de liquidation, l'ensemble des positions à haut risque a été directement transféré vers HLP.
Phase 4 : Répliques
Face à une pression énorme, les nœuds de validation Hyperliquid ont voté en urgence pour adopter plusieurs mesures : retirer immédiatement et définitivement le contrat à terme JELLY ; la fondation financera une compensation intégrale pour tous les utilisateurs affectés dont les adresses ne sont pas attaquantes.
Conclusion
L'événement Jelly-My-Jelly a révélé des défauts structurels mathématiques dans le mécanisme de génération des prix de marque. Les attaquants ont réussi à exécuter cette attaque en exploitant la forte corrélation des données des oracles, la tolérance des algorithmes d'agrégation aux valeurs aberrantes et le problème de "croyance aveugle" du système de liquidation.
Cet événement nous avertit : avant de bien comprendre la structure du jeu, tout mécanisme de règlement basé sur une "détermination" est une porte d'entrée potentielle à l'arbitrage. Les plateformes DeFi doivent établir une capacité de réflexion au niveau de la conception des mécanismes, afin d'identifier et de colmater ces risques systémiques dissimulés par la "beauté mathématique".
Ce n'est qu'en gardant un respect pour le marché et en comprenant en profondeur le complexe jeu mathématique et humain que nous pourrons construire des infrastructures financières plus sûres et plus fiables.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
3
Reposter
Partager
Commentaire
0/400
RektRecovery
· 08-15 14:33
je l'avais dit il y a des mois... un autre protocole "sécurisé" tombe à l'eau smh
Voir l'originalRépondre0
ImpermanentSage
· 08-15 14:30
Cette génération de pigeons peut vraiment faire des choses.
Voir l'originalRépondre0
GateUser-ccc36bc5
· 08-15 14:20
Jouer de cette façon, combien de gens sont morts à cause de cela ?
Hyperliquid prix de marque tempête : analyse de l'événement de liquidation en chaîne de 400 millions de dollars JELLY
Quand le prix de marque devient une arme : Analyse de la tempête de liquidations en série de Hyperliquid
En mars 2025, une tempête de liquidation choquante a balayé le marché des cryptomonnaies sur la plateforme Hyperliquid. Un jeton de niche, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une réaction en chaîne de plusieurs millions de dollars. Ce qui rend cet événement unique, c'est que l'attaquant n'a pas exploité des vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité central de la plateforme — prix de marque — en une arme d'attaque précise.
Ce n'est pas une intrusion de hacker, mais une "attaque de conformité" sur les règles du système. L'attaquant a habilement exploité la logique de calcul, les processus algorithmiques et les mécanismes de gestion des risques rendus publics par la plateforme, créant une "attaque sans code" dévastatrice. Le prix de marque, qui aurait dû être la pierre angulaire de la "neutralité et de la sécurité" du marché, est devenu dans cet événement une arme.
Le paradoxe central des contrats perpétuels : biais du mécanisme de liquidation causé par un faux sentiment de sécurité
prix de marque : erreur de croire que c'est un jeu de consensus sécurisé
Pour comprendre comment le prix de marque devient un point d'entrée pour les attaques, il est d'abord nécessaire d'analyser sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une bourse à l'autre, le principe de base est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix indice".
Le prix indiciel est la pierre angulaire du prix de marque, généralement calculé par la moyenne pondérée des prix de plusieurs plateformes de spot populaires. Une méthode typique de calcul du prix de marque est la suivante :
prix de marque = médiane(prix1, prix2, dernier prix de transaction)
L'introduction de la médiane était à l'origine destinée à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Mais la sécurité de ce design repose entièrement sur une hypothèse clé : la quantité de sources de données d'entrée est suffisante, leur distribution est raisonnable, la liquidité est forte et il est difficile d'être manipulé de manière coordonnée.
Cependant, dans la réalité, le marché au comptant de la plupart des altcoins est extrêmement faible. Une fois qu'un attaquant peut manipuler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, permettant ainsi d'injecter des données malveillantes dans le prix de marque par le biais d'une formule légitime. Cette attaque peut déclencher des liquidations massives de leviers à un coût minimal, provoquant un effet domino.
Moteur de règlement : l'épée à double tranchant de la plateforme
Le moteur de liquidation est le composant central de gestion des risques de la plateforme de trading. Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation se met en marche.
Il est important de noter que le critère central déclenchant la liquidation est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint le seuil de liquidation, dès que ce "prix de marque" "invisible" atteint le seuil, la liquidation sera immédiatement déclenchée.
Il est d'autant plus inquiétant que le mécanisme de "liquidation forcée" soit en place. De nombreuses plateformes d'échange adoptent souvent des paramètres de liquidation conservateurs pour éviter le risque de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est supérieur au prix de perte réelle ramené à zéro, la plateforme ne restitue généralement pas cette partie de "l'excédent de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion que "même s'il y a encore une marge, ils sont liquidés prématurément", avec un compte qui tombe directement à zéro.
Dilemme de l'oracle : quand la liquidité du marché au comptant s'épuise et devient une arme
Le prix de marque est fondé sur le prix indiciel, dont la source est l'oracle. Que ce soit pour les échanges centralisés ou décentralisés, les oracles jouent le rôle de pont pour la transmission d'informations entre la chaîne et l'extérieur. Cependant, bien que ce pont soit crucial, il est extrêmement fragile en période de manque de liquidité.
Oracles : un pont fragile reliant la chaîne et l'extérieur.
Les systèmes de blockchain sont essentiellement fermés et déterministes, et les contrats intelligents ne peuvent pas accéder activement aux données externes à la chaîne. Les oracles de prix ont vu le jour, ils constituent un système intermédiaire chargé de transmettre de manière sécurisée et fiable des données hors chaîne vers la chaîne, fournissant des informations "du monde réel" pour le fonctionnement des contrats intelligents.
Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le devoir de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, il ne juge pas si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Le dernier point est l'essence des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de l'inconvénient de liquidité des actifs ciblés sur le marché au comptant. Pour les actifs à faible volume d'échanges, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
Le chemin d'attaque comprend généralement les étapes suivantes :
Analyse des risques structurels de Hyperliquid
L'architecture de liquidité unique et le mécanisme de règlement de la plateforme Hyperliquid offrent aux attaquants un "terrain de chasse" idéal.
HLP Caisse : un teneur de marché et un contrepartiste de compensation démocratisés
L'une des innovations clés d'Hyperliquid est son coffre HLP — un pool de fonds géré de manière unifiée par le protocole, ayant une double fonction. Le HLP agit en tant que teneur de marché actif de la plateforme, tout en jouant également le rôle de "soutien à la liquidation des pertes" de la plateforme.
Ce design permet même à des tokens de petite capitalisation et de liquidité extrêmement faible comme JELLY de soutenir des positions de levier de plusieurs millions de dollars sur Hyperliquid. Cependant, ce mécanisme transforme également HLP en une entité de reprise qui peut être exploitée de manière déterministe, sans aucune capacité de jugement autonome.
défaut structurel du mécanisme de liquidation
L'événement Jelly-My-Jelly a révélé une faille fatale de Hyperliquid dans des conditions de marché extrêmes. Lorsque la position short d'une valeur de 4 millions de dollars a été liquidée en raison d'une flambée du prix de marque, cette position a été entièrement transférée au fonds de liquidation.
En raison du fait que le pool de réserve de liquidation peut appeler les actifs collatéraux d'autres pools de stratégie dans l'ensemble du coffre-fort HLP, le système détermine que "l'état de santé global" de l'ensemble du coffre-fort HLP reste bon, ce qui n'a donc pas déclenché le mécanisme de contrôle des risques. Cette conception du mécanisme de collatéral partagé a, par inadvertance, contourné la ligne de défense systémique qu'est la réduction automatique de position (ADL), faisant ainsi que les pertes qui auraient dû être supportées par l'ensemble du marché se concentrent finalement dans le coffre-fort HLP.
Récapitulatif complet de l'attaque Jelly-My-Jelly
Le 26 mars 2025, une attaque minutieusement planifiée s'est déroulée sur Hyperliquid, visant directement Jelly-My-Jelly (JELLY).
Phase 1 : mise en place
Les attaquants ont effectué des tests de stratégie pendant dix jours avant l'incident. Le 26 mars, lorsque le prix de JELLY oscillait autour de 0,0095 $, les attaquants ont commencé à mettre en œuvre la première phase. En utilisant des transactions auto-réalisées, ils ont construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des contrats perpétuels de JELLY, accompagnée de positions longues d'un total de 3 millions de dollars.
Étape deux : raid
L'attaque entre dans sa deuxième phase : augmentation rapide du prix au comptant. La capitalisation boursière de JELLY n'est que d'environ 15 millions de dollars, et le carnet de commandes est extrêmement mince. Les attaquants lancent simultanément des offensives d'achat sur plusieurs échanges, le prix au comptant de JELLY étant rapidement augmenté de plus de 500 % en peu de temps, atteignant un pic de 0,0517 dollar.
Phase trois : explosion
La forte augmentation du prix au comptant s'est rapidement transmise au système de prix de marque de Hyperliquid. La flambée du prix de marque a directement déclenché les positions de vente à découvert précédemment déployées par l'attaquant, entraînant une liquidation forcée. Étant donné que le coffre HLP prend sans condition le rôle de contrepartie de liquidation, l'ensemble des positions à haut risque a été directement transféré vers HLP.
Phase 4 : Répliques
Face à une pression énorme, les nœuds de validation Hyperliquid ont voté en urgence pour adopter plusieurs mesures : retirer immédiatement et définitivement le contrat à terme JELLY ; la fondation financera une compensation intégrale pour tous les utilisateurs affectés dont les adresses ne sont pas attaquantes.
Conclusion
L'événement Jelly-My-Jelly a révélé des défauts structurels mathématiques dans le mécanisme de génération des prix de marque. Les attaquants ont réussi à exécuter cette attaque en exploitant la forte corrélation des données des oracles, la tolérance des algorithmes d'agrégation aux valeurs aberrantes et le problème de "croyance aveugle" du système de liquidation.
Cet événement nous avertit : avant de bien comprendre la structure du jeu, tout mécanisme de règlement basé sur une "détermination" est une porte d'entrée potentielle à l'arbitrage. Les plateformes DeFi doivent établir une capacité de réflexion au niveau de la conception des mécanismes, afin d'identifier et de colmater ces risques systémiques dissimulés par la "beauté mathématique".
Ce n'est qu'en gardant un respect pour le marché et en comprenant en profondeur le complexe jeu mathématique et humain que nous pourrons construire des infrastructures financières plus sûres et plus fiables.