当标记价格成为武器：解析Hyperliquid连环清算风暴

2025年3月，一场震惊加密市场的清算风暴席卷Hyperliquid平台。一个日交易额不足200万美元的小众代币JELLY，引发了千万美元级别的连锁反应。这次事件的独特之处在于，攻击者并未利用传统的代码漏洞，而是将平台的核心安全机制——标记价格——变成了一件精准的攻击武器。

这不是一次黑客入侵，而是对系统规则的"合规性攻击"。攻击者巧妙利用了平台公开的计算逻辑、算法流程与风控机制，制造了一场毁灭性的"无代码攻击"。本应作为市场"中立与安全"基石的标记价格，在这一事件中从盾牌变成了利刃。

永续合约的核心悖论：虚假安全感导致的清算机制偏差

标记价格：误以为安全的共识游戏

要理解标记价格如何成为攻击入口，首先需要剖析其构成逻辑。尽管各交易所计算方式略有不同，但核心原则高度一致——围绕"指数价格"构建的三值中位机制。

指数价格是标记价格的基石，通常由多个主流现货平台的加权平均价格计算得出。一个典型的标记价格计算方式如下：

标记价格 = 中位数(价格1, 价格2, 最新成交价)

• 价格1 = 指数价格 × (1 + 资金费率基差)
• 价格2 = 指数价格 + 移动平均基差
• 最新成交价 = 衍生品平台上的最新成交价

中位数的引入原本是为了剔除异常值、提升价格稳定性。但这种设计的安全性完全建立在一个关键假设之上：输入的数据源数量充足、分布合理、流动性强且难以被协同操纵。

然而，现实中绝大多数山寨币的现货市场极其薄弱。一旦攻击者能够操控几个低流动性平台的价格，就可以"污染"指数价格，从而将恶意数据通过公式合法地注入标记价格。这种攻击能以最小的成本撬动大规模的杠杆清算，引发连锁反应。

清算引擎：平台的双刃剑

清算引擎是交易平台的核心风控组件。当市场价格朝不利方向快速变动时，交易者的保证金将被浮亏侵蚀。一旦剩余保证金跌破"维持保证金率"，清算引擎就会启动。

值得注意的是，清算触发的核心标准是标记价格，而非平台自身的最新成交价。这意味着，即使当前市场成交价尚未触及清算线，只要那个"看不见"的标记价格达到阈值，清算就会立即触发。

更值得警惕的是"强制平仓"机制。许多交易所为了避免穿仓风险，往往采用偏保守的清算参数。当触发强平后，即便平仓价格优于实际亏损归零的价格，平台通常也不会返还这部分"强平盈余"，而是直接注入平台的保险基金。这导致交易者产生一种"明明还有保证金，却被提前清算"的错觉，账户直接归零。

预言机困境：当现货流动性枯竭成为武器

标记价格的根基是指数价格，而指数价格的源头则是预言机。不论是中心化还是去中心化交易所，预言机都承担着链上与链下之间信息传输的桥梁角色。然而，这座桥梁虽然关键，但在流动性匮乏时却异常脆弱。

预言机：连接链上与链下的脆弱桥梁

区块链系统本质上是封闭且确定性的，智能合约无法主动访问链外数据。价格预言机应运而生，它是一个中间件系统，负责将链下数据安全、可信地传输至链上，为智能合约的运作提供"现实世界"的信息输入。

然而，一个常被忽视的事实是：一个"诚实"的预言机，并不意味着它报告的是"合理"的价格。预言机的职责仅是如实记录其所能观察到的外部世界状态，它不判断价格是否偏离基本面。这一特性揭示了两类截然不同的攻击路径：

• 预言机攻击：攻击者通过技术手段篡改预言机数据源或协议，使其报告错误价格。
• 市场操纵：攻击者通过实际操作外部市场，刻意拉动或压低价格，而正常工作的预言机则如实记录并上报这个"被操控"的市场价格。

后者正是Mango Markets和Jelly-My-Jelly事件的实质：不是预言机被攻破，而是其"观测窗口"被污染。

攻击的支点：当流动性缺陷成为武器

这类攻击的核心在于利用目标资产在现货市场上的流动性劣势。对于交易稀薄的资产，即便是小额订单也可能引起价格剧烈波动，从而为操纵者提供可乘之机。

攻击路径通常包括以下步骤：

1. 目标选择：筛选符合条件的目标代币。
2. 资本筹集：通过闪电贷等方式获取临时巨额资金。
3. 现货市场闪击：在极短时间内在多个交易所同步下达大量买单。
4. 预言机污染：预言机从被操纵的交易所读取价格，得出被污染的指数价格。
5. 标记价格感染：受污染的指数价格进入衍生品平台，影响标记价格计算，触发大规模清算。

Hyperliquid的结构性风险剖析

Hyperliquid平台独特的流动性架构与清算机制，为攻击者提供了理想的"猎杀场"。

HLP金库：民主化的做市商与清算对手盘

Hyperliquid的核心创新之一是其HLP金库——一个由协议统一管理、肩负双重职能的资金池。HLP充当平台的主动做市商，同时还承担着平台的"清算止损后盾"。

这种设计使得即使是如JELLY这种市值较小、流动性极低的代币，也能在Hyperliquid上支撑数百万美元级别的杠杆头寸。然而，这种机制也使HLP变成了一个可以被确定性利用的、完全没有自主判断能力的接盘实体。

清算机制的结构性缺陷

Jelly-My-Jelly事件暴露了Hyperliquid在极端市场条件下的一个致命漏洞。当攻击者价值400万美元的空头仓位因标记价格飙升而被清算时，该仓位被完整转移至清算储备池。

由于清算储备池可以调用整个HLP金库中其他策略池的抵押资产，系统判定整个HLP金库"整体健康度"依然良好，因而没有触发风控机制。这种共享抵押机制的设计，意外绕过了自动减仓（ADL）这一系统性风险防线，使本应由市场整体承担的损失，最终集中爆发于HLP金库之中。

Jelly-My-Jelly攻击的完整复盘

2025年3月26日，一场精密策划的攻击在Hyperliquid上演，目标直指Jelly-My-Jelly（JELLY）。

阶段一：布局

攻击者在事发前长达十天内进行策略测试。3月26日，JELLY价格在0.0095美元附近震荡时，攻击者开始实施第一阶段。通过自我交易方式，在JELLY的永续合约市场上构建了价值约400万美元的空头头寸，并辅以总计300万美元的多头对敲仓位。

阶段二：突袭

攻击进入第二阶段：迅速拉升现货价格。JELLY总市值仅约1,500万美元，订单簿极为薄弱。攻击者在多个交易所同步发起买入攻势，JELLY现货价格在短时间内被迅速拉升超500%，触及0.0517美元的峰值。

阶段三：引爆

现货价格的剧烈拉升迅速传导至Hyperliquid的标记价格系统。标记价格的跳涨直接引爆了攻击者先前部署的空头仓位，触发强制清算。由于HLP金库作为清算对手方无条件接盘，整个高风险仓位直接压向HLP。

阶段四：余波

面对巨大压力，Hyperliquid验证者节点紧急投票，通过多项应对措施：立即并永久下架JELLY永续合约；由基金会出资，对所有非攻击地址的受影响用户进行全额补偿。

结语

Jelly-My-Jelly事件揭示了标记价格生成机制的数学结构性缺陷。攻击者利用预言机数据的高度相关性、聚合算法对异常值的容忍性以及清算系统的"盲信"问题，成功实施了这次攻击。

这一事件警示我们：在没有深入理解博弈结构之前，任何基于"确定性"的清算机制，都是潜在的套利入口。DeFi平台需要在机制设计层面建立自省能力，识别并堵住这些被"数学美感"掩盖的系统性风险。

只有保持敬畏市场之心，深入理解数学与人性的复杂博弈，我们才能构建更安全、更可靠的金融基础设施。