Коли ціна маркування стає зброєю: аналіз шторму ланцюгових ліквідацій Hyperliquid
У березні 2025 року, на платформі Hyperliquid відбулася ліквідаційна буря, яка шокувала крипторинок. Невеликий токен JELLY з добовим обігом менше 2 мільйонів доларів викликав ланцюгову реакцію на десятки мільйонів доларів. Унікальність цього інциденту полягає в тому, що зловмисник не скористався традиційними вразливостями коду, а перетворив основний механізм безпеки платформи — ціну маркування — на точну зброю для атаки.
Це не було хакерське вторгнення, а "атака на відповідність" системним правилам. Зловмисники майстерно використали публічну логіку обчислень, алгоритмічні процеси та механізми управління ризиками платформи, створивши руйнівну "атака без коду". Ціна маркування, яка мала бути основою "нейтральності та безпеки" ринку, в цьому випадку перетворилася з щита на лезо.
Основна парадокс безстрокових контрактів: викликані помилковим відчуттям безпеки відхилення механізму ліквідації
ціна маркування:помилково вважали безпечну гру консенсусу
Щоб зрозуміти, як ціна маркування стає вхідною точкою для атак, спочатку потрібно проаналізувати її складову логіку. Хоча різні біржі мають деякі відмінності у способах обчислення, основний принцип залишається високою мірою узгодженим — це тривимірний механізм медіани, побудований навколо "індексної ціни".
Індексна ціна є основою ціни маркування, зазвичай розраховується як зважена середня ціна з кількох основних спотових платформ. Типовий спосіб розрахунку ціни маркування виглядає наступним чином:
ціна маркування = медіана( ціна1, ціна2, остання ціна угоди)
Остання ціна = Остання ціна маркування на платформі деривативів
Введення медіани спочатку було задумано для усунення аномальних значень та підвищення стабільності цін. Але безпека такого дизайну повністю ґрунтується на одному ключовому припущенні: кількість джерел даних достатня, розподіл раціональний, ліквідність висока і важко піддається спільній маніпуляції.
Однак, у реальності більшість ринків спот для альткойнів надзвичайно слабкі. Як тільки зловмисник зможе маніпулювати цінами на кількох платформах з низькою ліквідністю, він може "забруднити" індексну ціну, легально впроваджуючи шкідливі дані через формулу в ціну маркування. Така атака може з мінімальними витратами викликати масштабну ліквідацію з важелем, спричиняючи ланцюгову реакцію.
Система розрахунків: двосічний меч платформи
Ліквідаційний двигун є основним компонентом управління ризиками торгової платформи. Коли ринкова ціна швидко змінюється в несприятливому напрямку, маржа трейдера буде зменшуватись через неприбутковість. Як тільки залишкова маржа впаде нижче "рівня підтримки маржі", ліквідаційний двигун активується.
Варто зазначити, що основним критерієм для ініціювання ліквідації є ціна маркування, а не остання ціна угоди на платформі. Це означає, що навіть якщо поточна ринкова ціна угоди ще не досягла ліквідаційної межі, ліквідація відбудеться негайно, як тільки ця "невидима" ціна маркування досягне порогу.
Ще більшою мірою насторожує механізм "примусової ліквідації". Багато бірж, щоб уникнути ризику ліквідації, зазвичай використовують занадто консервативні параметри ліквідації. Коли відбувається примусова ліквідація, навіть якщо ціна ліквідації краща за фактичну ціну, при якій збитки стають нульовими, платформа зазвичай не повертає цю частину "прибутку від ліквідації", а безпосередньо зараховує її до страхової фонду платформи. Це призводить до того, що трейдери відчувають ілюзію, що "на рахунку ще є маржа, але її ліквідують заздалегідь", і рахунок фактично обнуляється.
Дилема оракула: коли ліквідність спот-ринку виснажується і стає зброєю
Ціна маркування ґрунтується на індексній ціні, а джерелом індексної ціни є оракул. Незалежно від того, чи це централізовані, чи децентралізовані біржі, оракул виконує роль моста між ончейн та оффчейн інформацією. Проте цей міст, хоча й є критично важливим, виявляється надзвичайно крихким у часи нестачі ліквідності.
Оракул: крихкий міст між ончейн і оффчейн
Блокчейн-системи за своєю сутністю є закритими та детермінованими, смарт-контракти не можуть активно отримувати дані ззовні мережі. Ціна маркування стала необхідною, це проміжна система, яка відповідає за безпечну та надійну передачу даних ззовні на ланцюг, надаючи "реальну" інформацію для роботи смарт-контрактів.
Однак, часто ігнорованим фактом є те, що "чесний" оракул не означає, що він повідомляє "розумну" ціну. Обов'язком оракула є лише правдиво фіксувати стан зовнішнього світу, який він може спостерігати, він не оцінює, чи відхиляється ціна від фундаментальних показників. Ця особливість виявляє два абсолютно різних шляхи атак:
Атака на оракула: зловмисники шляхом технічних засобів підробляють джерело даних оракула або протокол, змушуючи його повідомляти неправильну ціну.
Маніпуляція на ринку: Зловмисники через фактичні дії на зовнішньому ринку навмисно підвищують або знижують ціну, тоді як нормально працюючий оракул вірно фіксує та повідомляє цю "маніпульовану" ринкову ціну.
Останнє саме і є суттю подій Mango Markets та Jelly-My-Jelly: не oracle був зламаний, а його "вікно спостереження" було забруднене.
Точка атаки: коли дефіцит ліквідності стає зброєю
Суть таких атак полягає в використанні слабкої ліквідності цільових активів на спотовому ринку. Для активів із низькою ліквідністю навіть невеликі замовлення можуть викликати різкі коливання цін, що надає можливість маніпуляторам.
Шляхи атаки зазвичай включають такі етапи:
Вибір цілей: відбір цільових токенів, що відповідають умовам.
Залучення капіталу: отримання тимчасових великих коштів через闪电贷 тощо.
Ринковий сплеск: протягом дуже короткого часу на кількох біржах одночасно розміщуються великі обсяги покупок.
Забруднення оракула: оракул отримує ціни з маніпульованих бірж, отримуючи забруднені індексні ціни.
Ціна маркування інфекція: забруднені індексні ціни входять на платформу деривативів, впливаючи на розрахунок ціни маркування, що викликає масове ліквідацію.
Аналіз структурних ризиків Hyperliquid
Унікальна структура ліквідності та механізм клірингу платформи Hyperliquid створюють ідеальне "поле полювання" для зловмисників.
HLP-скарбниця: демократизовані маркет-мейкери та контрагенти з очищення
Однією з ключових інновацій Hyperliquid є його HLP-скарбниця — фонд, що управляється протоколом і виконує подвійні функції. HLP виступає в ролі активного маркет-мейкера платформи, а також виконує функцію "захисного механізму для ліквідаційних стопів".
Цей дизайн дозволяє навіть таким токенам, як JELLY, з невеликою ринковою капіталізацією та надзвичайно низькою ліквідністю, підтримувати кредитні позиції на рівні мільйонів доларів на Hyperliquid. Однак цей механізм також перетворює HLP на певний об'єкт, який можна визначено використовувати, що не має ніякої автономної здатності до ухвалення рішень.
структурні недоліки механізму ліквідації
Подія Jelly-My-Jelly виявила смертельну вразливість Hyperliquid за екстремальних ринкових умов. Коли позиція в коротку на 4 мільйони доларів була ліквідована через різке зростання ціни маркування, ця позиція була повністю перенесена до резервного ліквідаційного фонду.
Оскільки резервний фонд ліквідації може використовувати заставні активи з інших стратегічних фондів у всьому HLP, система визначає, що "загальна здоров'я" всього HLP залишається доброю, і тому механізм управління ризиками не спрацьовує. Дизайн цієї спільної заставної механізми неочікувано обійшов автоматичне зменшення позицій (ADL) як системний ризик, в результаті чого збитки, які мали б нести ринок в цілому, зрештою сконцентрувалися в HLP.
Повний аналіз атаки Jelly-My-Jelly
26 березня 2025 року на Hyperliquid відбулася ретельно спланована атака, яка була націлена на Jelly-My-Jelly (JELLY).
Етап один: розташування
Зловмисники проводили тестування стратегій протягом десяти днів до інциденту. 26 березня, коли ціна JELLY коливалася біля 0,0095 долара, зловмисники розпочали першу стадію. Через самостійні угоди було створено коротку позицію на ринку постійних контрактів JELLY на суму близько 4 мільйонів доларів, доповнену загалом 3 мільйонами доларів довгих позицій.
Етап два: Напад
Атака переходить на другий етап: швидке підвищення ціни на спот. Загальна капіталізація JELLY складає лише близько 15 мільйонів доларів, книга замовлень надзвичайно слабка. Зловмисники одночасно на кількох біржах розпочали наступ на покупки, ціна на спот JELLY за короткий час різко зросла більш ніж на 500%, досягнувши піку в 0,0517 долара.
Етап три: Вибух
Різке зростання спотової ціни швидко передалося до системи ціни маркування Hyperliquid. Стрибок ціни маркування безпосередньо спровокував запуск раніше розгорнутого короткого позиції атакуючого, викликавши примусове ліквідування. Оскільки HLP-скарбниця як контрагент для ліквідації безумовно приймає позиції, вся високо ризикована позиція безпосередньо переходить до HLP.
Етап чотири: залишкові хвилі
У відповідь на величезний тиск, вузли-верифікатори Hyperliquid терміново проголосували за кілька заходів: негайно і назавжди зняти з торгів постійний контракт JELLY; за рахунок фонду компенсувати всім постраждалим користувачам з неатакованих адрес повну суму.
Висновок
Подія Jelly-My-Jelly виявила структурні математичні недоліки механізму генерації ціни маркування. Зловмисники скористалися високою кореляцією даних оракулів, терпимістю агрегуючих алгоритмів до аномальних значень та проблемою "сліпої довіри" в системі ліквідації, успішно здійснивши цю атаку.
Ця подія застерігає нас: без глибокого розуміння структури гри будь-який механізм ліквідації, що базується на "визначеності", є потенційним входом для арбітражу. Платформи DeFi повинні на рівні проектування механізмів встановити здатність до самоаналізу, щоб виявити та закрити ці системні ризики, які приховані під "математичною естетикою".
Тільки зберігаючи повагу до ринку та глибоко розуміючи складні ігри математики і людської природи, ми зможемо побудувати більш безпечну та надійну фінансову інфраструктуру.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
6
Репост
Поділіться
Прокоментувати
0/400
MetaverseHermit
· 16год тому
Добре, що Відповідність може призвести до великих справ
Переглянути оригіналвідповісти на0
quietly_staking
· 08-18 00:26
jelly тепер став ножем, що потрібно очистити, не втече.
Переглянути оригіналвідповісти на0
RektRecovery
· 08-15 14:33
назвав це кілька місяців тому... ще один "безпечний" протокол йде на дно смх
Переглянути оригіналвідповісти на0
ImpermanentSage
· 08-15 14:30
Ця черга невдах вже може творити дива.
Переглянути оригіналвідповісти на0
GateUser-ccc36bc5
· 08-15 14:20
Грати так ризиковано, чи багато тих, хто за цим слідує, помирає?
Гіперліквідність ціна маркування буря: аналіз 400 мільйонів доларів США JELLY ланцюгового ліквідаційного події
Коли ціна маркування стає зброєю: аналіз шторму ланцюгових ліквідацій Hyperliquid
У березні 2025 року, на платформі Hyperliquid відбулася ліквідаційна буря, яка шокувала крипторинок. Невеликий токен JELLY з добовим обігом менше 2 мільйонів доларів викликав ланцюгову реакцію на десятки мільйонів доларів. Унікальність цього інциденту полягає в тому, що зловмисник не скористався традиційними вразливостями коду, а перетворив основний механізм безпеки платформи — ціну маркування — на точну зброю для атаки.
Це не було хакерське вторгнення, а "атака на відповідність" системним правилам. Зловмисники майстерно використали публічну логіку обчислень, алгоритмічні процеси та механізми управління ризиками платформи, створивши руйнівну "атака без коду". Ціна маркування, яка мала бути основою "нейтральності та безпеки" ринку, в цьому випадку перетворилася з щита на лезо.
Основна парадокс безстрокових контрактів: викликані помилковим відчуттям безпеки відхилення механізму ліквідації
ціна маркування:помилково вважали безпечну гру консенсусу
Щоб зрозуміти, як ціна маркування стає вхідною точкою для атак, спочатку потрібно проаналізувати її складову логіку. Хоча різні біржі мають деякі відмінності у способах обчислення, основний принцип залишається високою мірою узгодженим — це тривимірний механізм медіани, побудований навколо "індексної ціни".
Індексна ціна є основою ціни маркування, зазвичай розраховується як зважена середня ціна з кількох основних спотових платформ. Типовий спосіб розрахунку ціни маркування виглядає наступним чином:
ціна маркування = медіана( ціна1, ціна2, остання ціна угоди)
Введення медіани спочатку було задумано для усунення аномальних значень та підвищення стабільності цін. Але безпека такого дизайну повністю ґрунтується на одному ключовому припущенні: кількість джерел даних достатня, розподіл раціональний, ліквідність висока і важко піддається спільній маніпуляції.
Однак, у реальності більшість ринків спот для альткойнів надзвичайно слабкі. Як тільки зловмисник зможе маніпулювати цінами на кількох платформах з низькою ліквідністю, він може "забруднити" індексну ціну, легально впроваджуючи шкідливі дані через формулу в ціну маркування. Така атака може з мінімальними витратами викликати масштабну ліквідацію з важелем, спричиняючи ланцюгову реакцію.
Система розрахунків: двосічний меч платформи
Ліквідаційний двигун є основним компонентом управління ризиками торгової платформи. Коли ринкова ціна швидко змінюється в несприятливому напрямку, маржа трейдера буде зменшуватись через неприбутковість. Як тільки залишкова маржа впаде нижче "рівня підтримки маржі", ліквідаційний двигун активується.
Варто зазначити, що основним критерієм для ініціювання ліквідації є ціна маркування, а не остання ціна угоди на платформі. Це означає, що навіть якщо поточна ринкова ціна угоди ще не досягла ліквідаційної межі, ліквідація відбудеться негайно, як тільки ця "невидима" ціна маркування досягне порогу.
Ще більшою мірою насторожує механізм "примусової ліквідації". Багато бірж, щоб уникнути ризику ліквідації, зазвичай використовують занадто консервативні параметри ліквідації. Коли відбувається примусова ліквідація, навіть якщо ціна ліквідації краща за фактичну ціну, при якій збитки стають нульовими, платформа зазвичай не повертає цю частину "прибутку від ліквідації", а безпосередньо зараховує її до страхової фонду платформи. Це призводить до того, що трейдери відчувають ілюзію, що "на рахунку ще є маржа, але її ліквідують заздалегідь", і рахунок фактично обнуляється.
Дилема оракула: коли ліквідність спот-ринку виснажується і стає зброєю
Ціна маркування ґрунтується на індексній ціні, а джерелом індексної ціни є оракул. Незалежно від того, чи це централізовані, чи децентралізовані біржі, оракул виконує роль моста між ончейн та оффчейн інформацією. Проте цей міст, хоча й є критично важливим, виявляється надзвичайно крихким у часи нестачі ліквідності.
Оракул: крихкий міст між ончейн і оффчейн
Блокчейн-системи за своєю сутністю є закритими та детермінованими, смарт-контракти не можуть активно отримувати дані ззовні мережі. Ціна маркування стала необхідною, це проміжна система, яка відповідає за безпечну та надійну передачу даних ззовні на ланцюг, надаючи "реальну" інформацію для роботи смарт-контрактів.
Однак, часто ігнорованим фактом є те, що "чесний" оракул не означає, що він повідомляє "розумну" ціну. Обов'язком оракула є лише правдиво фіксувати стан зовнішнього світу, який він може спостерігати, він не оцінює, чи відхиляється ціна від фундаментальних показників. Ця особливість виявляє два абсолютно різних шляхи атак:
Останнє саме і є суттю подій Mango Markets та Jelly-My-Jelly: не oracle був зламаний, а його "вікно спостереження" було забруднене.
Точка атаки: коли дефіцит ліквідності стає зброєю
Суть таких атак полягає в використанні слабкої ліквідності цільових активів на спотовому ринку. Для активів із низькою ліквідністю навіть невеликі замовлення можуть викликати різкі коливання цін, що надає можливість маніпуляторам.
Шляхи атаки зазвичай включають такі етапи:
Аналіз структурних ризиків Hyperliquid
Унікальна структура ліквідності та механізм клірингу платформи Hyperliquid створюють ідеальне "поле полювання" для зловмисників.
HLP-скарбниця: демократизовані маркет-мейкери та контрагенти з очищення
Однією з ключових інновацій Hyperliquid є його HLP-скарбниця — фонд, що управляється протоколом і виконує подвійні функції. HLP виступає в ролі активного маркет-мейкера платформи, а також виконує функцію "захисного механізму для ліквідаційних стопів".
Цей дизайн дозволяє навіть таким токенам, як JELLY, з невеликою ринковою капіталізацією та надзвичайно низькою ліквідністю, підтримувати кредитні позиції на рівні мільйонів доларів на Hyperliquid. Однак цей механізм також перетворює HLP на певний об'єкт, який можна визначено використовувати, що не має ніякої автономної здатності до ухвалення рішень.
структурні недоліки механізму ліквідації
Подія Jelly-My-Jelly виявила смертельну вразливість Hyperliquid за екстремальних ринкових умов. Коли позиція в коротку на 4 мільйони доларів була ліквідована через різке зростання ціни маркування, ця позиція була повністю перенесена до резервного ліквідаційного фонду.
Оскільки резервний фонд ліквідації може використовувати заставні активи з інших стратегічних фондів у всьому HLP, система визначає, що "загальна здоров'я" всього HLP залишається доброю, і тому механізм управління ризиками не спрацьовує. Дизайн цієї спільної заставної механізми неочікувано обійшов автоматичне зменшення позицій (ADL) як системний ризик, в результаті чого збитки, які мали б нести ринок в цілому, зрештою сконцентрувалися в HLP.
Повний аналіз атаки Jelly-My-Jelly
26 березня 2025 року на Hyperliquid відбулася ретельно спланована атака, яка була націлена на Jelly-My-Jelly (JELLY).
Етап один: розташування
Зловмисники проводили тестування стратегій протягом десяти днів до інциденту. 26 березня, коли ціна JELLY коливалася біля 0,0095 долара, зловмисники розпочали першу стадію. Через самостійні угоди було створено коротку позицію на ринку постійних контрактів JELLY на суму близько 4 мільйонів доларів, доповнену загалом 3 мільйонами доларів довгих позицій.
Етап два: Напад
Атака переходить на другий етап: швидке підвищення ціни на спот. Загальна капіталізація JELLY складає лише близько 15 мільйонів доларів, книга замовлень надзвичайно слабка. Зловмисники одночасно на кількох біржах розпочали наступ на покупки, ціна на спот JELLY за короткий час різко зросла більш ніж на 500%, досягнувши піку в 0,0517 долара.
Етап три: Вибух
Різке зростання спотової ціни швидко передалося до системи ціни маркування Hyperliquid. Стрибок ціни маркування безпосередньо спровокував запуск раніше розгорнутого короткого позиції атакуючого, викликавши примусове ліквідування. Оскільки HLP-скарбниця як контрагент для ліквідації безумовно приймає позиції, вся високо ризикована позиція безпосередньо переходить до HLP.
Етап чотири: залишкові хвилі
У відповідь на величезний тиск, вузли-верифікатори Hyperliquid терміново проголосували за кілька заходів: негайно і назавжди зняти з торгів постійний контракт JELLY; за рахунок фонду компенсувати всім постраждалим користувачам з неатакованих адрес повну суму.
Висновок
Подія Jelly-My-Jelly виявила структурні математичні недоліки механізму генерації ціни маркування. Зловмисники скористалися високою кореляцією даних оракулів, терпимістю агрегуючих алгоритмів до аномальних значень та проблемою "сліпої довіри" в системі ліквідації, успішно здійснивши цю атаку.
Ця подія застерігає нас: без глибокого розуміння структури гри будь-який механізм ліквідації, що базується на "визначеності", є потенційним входом для арбітражу. Платформи DeFi повинні на рівні проектування механізмів встановити здатність до самоаналізу, щоб виявити та закрити ці системні ризики, які приховані під "математичною естетикою".
Тільки зберігаючи повагу до ринку та глибоко розуміючи складні ігри математики і людської природи, ми зможемо побудувати більш безпечну та надійну фінансову інфраструктуру.
!