當標記價格成爲武器：解析Hyperliquid連環清算風暴

2025年3月，一場震驚加密市場的清算風暴席卷Hyperliquid平台。一個日交易額不足200萬美元的小衆代幣JELLY，引發了千萬美元級別的連鎖反應。這次事件的獨特之處在於，攻擊者並未利用傳統的代碼漏洞，而是將平台的核心安全機制——標記價格——變成了一件精準的攻擊武器。

這不是一次黑客入侵，而是對系統規則的"合規性攻擊"。攻擊者巧妙利用了平台公開的計算邏輯、算法流程與風控機制，制造了一場毀滅性的"無代碼攻擊"。本應作爲市場"中立與安全"基石的標記價格，在這一事件中從盾牌變成了利刃。

永續合約的核心悖論：虛假安全感導致的清算機制偏差

標記價格：誤以爲安全的共識遊戲

要理解標記價格如何成爲攻擊入口，首先需要剖析其構成邏輯。盡管各交易所計算方式略有不同，但核心原則高度一致——圍繞"指數價格"構建的三值中位機制。

指數價格是標記價格的基石，通常由多個主流現貨平台的加權平均價格計算得出。一個典型的標記價格計算方式如下：

標記價格 = 中位數(價格1, 價格2, 最新成交價)

• 價格1 = 指數價格 × (1 + 資金費率基差)
• 價格2 = 指數價格 + 移動平均基差
• 最新成交價 = 衍生品平台上的最新成交價

中位數的引入原本是爲了剔除異常值、提升價格穩定性。但這種設計的安全性完全建立在一個關鍵假設之上：輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱。

然而，現實中絕大多數山寨幣的現貨市場極其薄弱。一旦攻擊者能夠操控幾個低流動性平台的價格，就可以"污染"指數價格，從而將惡意數據通過公式合法地注入標記價格。這種攻擊能以最小的成本撬動大規模的槓杆清算，引發連鎖反應。

清算引擎：平台的雙刃劍

清算引擎是交易平台的核心風控組件。當市場價格朝不利方向快速變動時，交易者的保證金將被浮虧侵蝕。一旦剩餘保證金跌破"維持保證金率"，清算引擎就會啓動。

值得注意的是，清算觸發的核心標準是標記價格，而非平台自身的最新成交價。這意味着，即使當前市場成交價尚未觸及清算線，只要那個"看不見"的標記價格達到閾值，清算就會立即觸發。

更值得警惕的是"強制平倉"機制。許多交易所爲了避免穿倉風險，往往採用偏保守的清算參數。當觸發強平後，即便平倉價格優於實際虧損歸零的價格，平台通常也不會返還這部分"強平盈餘"，而是直接注入平台的保險基金。這導致交易者產生一種"明明還有保證金，卻被提前清算"的錯覺，帳戶直接歸零。

預言機困境：當現貨流動性枯竭成爲武器

標記價格的根基是指數價格，而指數價格的源頭則是預言機。不論是中心化還是去中心化交易所，預言機都承擔着鏈上與鏈下之間信息傳輸的橋梁角色。然而，這座橋梁雖然關鍵，但在流動性匱乏時卻異常脆弱。

預言機：連接鏈上與鏈下的脆弱橋梁

區塊鏈系統本質上是封閉且確定性的，智能合約無法主動訪問鏈外數據。價格預言機應運而生，它是一個中間件系統，負責將鏈下數據安全、可信地傳輸至鏈上，爲智能合約的運作提供"現實世界"的信息輸入。

然而，一個常被忽視的事實是：一個"誠實"的預言機，並不意味着它報告的是"合理"的價格。預言機的職責僅是如實記錄其所能觀察到的外部世界狀態，它不判斷價格是否偏離基本面。這一特性揭示了兩類截然不同的攻擊路徑：

• 預言機攻擊：攻擊者通過技術手段篡改預言機數據源或協議，使其報告錯誤價格。
• 市場操縱：攻擊者通過實際操作外部市場，刻意拉動或壓低價格，而正常工作的預言機則如實記錄並上報這個"被操控"的市場價格。

後者正是Mango Markets和Jelly-My-Jelly事件的實質：不是預言機被攻破，而是其"觀測窗口"被污染。

攻擊的支點：當流動性缺陷成爲武器

這類攻擊的核心在於利用目標資產在現貨市場上的流動性劣勢。對於交易稀薄的資產，即便是小額訂單也可能引起價格劇烈波動，從而爲操縱者提供可乘之機。

攻擊路徑通常包括以下步驟：

1. 目標選擇：篩選符合條件的目標代幣。
2. 資本籌集：通過閃電貸等方式獲取臨時巨額資金。
3. 現貨市場閃擊：在極短時間內在多個交易所同步下達大量買單。
4. 預言機污染：預言機從被操縱的交易所讀取價格，得出被污染的指數價格。
5. 標記價格感染：受污染的指數價格進入衍生品平台，影響標記價格計算，觸發大規模清算。

Hyperliquid的結構性風險剖析

Hyperliquid平台獨特的流動性架構與清算機制，爲攻擊者提供了理想的"獵殺場"。

HLP金庫：民主化的做市商與清算對手盤

Hyperliquid的核心創新之一是其HLP金庫——一個由協議統一管理、肩負雙重職能的資金池。HLP充當平台的主動做市商，同時還承擔着平台的"清算止損後盾"。

這種設計使得即使是如JELLY這種市值較小、流動性極低的代幣，也能在Hyperliquid上支撐數百萬美元級別的槓杆頭寸。然而，這種機制也使HLP變成了一個可以被確定性利用的、完全沒有自主判斷能力的接盤實體。

清算機制的結構性缺陷

Jelly-My-Jelly事件暴露了Hyperliquid在極端市場條件下的一個致命漏洞。當攻擊者價值400萬美元的空頭倉位因標記價格飆升而被清算時，該倉位被完整轉移至清算儲備池。

由於清算儲備池可以調用整個HLP金庫中其他策略池的抵押資產，系統判定整個HLP金庫"整體健康度"依然良好，因而沒有觸發風控機制。這種共享抵押機制的設計，意外繞過了自動減倉（ADL）這一系統性風險防線，使本應由市場整體承擔的損失，最終集中爆發於HLP金庫之中。

Jelly-My-Jelly攻擊的完整復盤

2025年3月26日，一場精密策劃的攻擊在Hyperliquid上演，目標直指Jelly-My-Jelly（JELLY）。

階段一：布局

攻擊者在事發前長達十天內進行策略測試。3月26日，JELLY價格在0.0095美元附近震蕩時，攻擊者開始實施第一階段。通過自我交易方式，在JELLY的永續合約市場上構建了價值約400萬美元的空頭頭寸，並輔以總計300萬美元的多頭對敲倉位。

階段二：突襲

攻擊進入第二階段：迅速拉升現貨價格。JELLY總市值僅約1,500萬美元，訂單簿極爲薄弱。攻擊者在多個交易所同步發起買入攻勢，JELLY現貨價格在短時間內被迅速拉升超500%，觸及0.0517美元的峯值。

階段三：引爆

現貨價格的劇烈拉升迅速傳導至Hyperliquid的標記價格系統。標記價格的跳漲直接引爆了攻擊者先前部署的空頭倉位，觸發強制清算。由於HLP金庫作爲清算對手方無條件接盤，整個高風險倉位直接壓向HLP。

階段四：餘波

面對巨大壓力，Hyperliquid驗證者節點緊急投票，通過多項應對措施：立即並永久下架JELLY永續合約；由基金會出資，對所有非攻擊地址的受影響用戶進行全額補償。

結語

Jelly-My-Jelly事件揭示了標記價格生成機制的數學結構性缺陷。攻擊者利用預言機數據的高度相關性、聚合算法對異常值的容忍性以及清算系統的"盲信"問題，成功實施了這次攻擊。

這一事件警示我們：在沒有深入理解博弈結構之前，任何基於"確定性"的清算機制，都是潛在的套利入口。DeFi平台需要在機制設計層面建立自省能力，識別並堵住這些被"數學美感"掩蓋的系統性風險。

只有保持敬畏市場之心，深入理解數學與人性的復雜博弈，我們才能構建更安全、更可靠的金融基礎設施。