De algoritmo a juego: el riesgo estructural del marca de precio de los Futuros perpetuos
En marzo de 2025, un pequeño token de nicho llamado JELLY, con un volumen de transacciones inferior a 2 millones de dólares, desató una tormenta de liquidación de decenas de millones de dólares en la plataforma Hyperliquid. No se trató de un ataque de hacker en el sentido tradicional, sino de un "ataque de conformidad" a las reglas del sistema. Los atacantes utilizaron astutamente la lógica de cálculo y los mecanismos de control de riesgos públicos de la plataforma, convirtiendo el marca de precio, que debería haber sido un ancla de "neutralidad y seguridad" en el mercado, en un arma letal.
Este incidente revela el riesgo sistémico del mecanismo de marca de precio en el mercado de Futuros perpetuos de las monedas alternativas, exponiendo la asimetría inherente de la lógica de liquidación actual en la protección de los fondos de los usuarios en situaciones extremas. Este artículo analizará en profundidad los principios detrás de este evento y sus implicaciones para la industria desde dos niveles: teórico y práctico.
El núcleo de la paradoja de los Futuros perpetuos: el sesgo del mecanismo de liquidación que proporciona una falsa sensación de seguridad
marca de precio: una partida de consenso que se creía segura
El cálculo de la marca de precio generalmente utiliza un mecanismo de mediana de tres valores, construido en torno al "precio índice". El precio índice se obtiene mediante un promedio ponderado de los precios de múltiples plataformas de spot principales, con el objetivo de proporcionar un precio de referencia justo entre plataformas.
El método típico de cálculo de la marca de precio es:
Marca de precio = Mediana (Precio1, Precio2, Último precio negociado)
Entre:
Price1 = precio índice × (1 + diferencia de tasa de financiación )
Price2 = precio índice + diferencia de media móvil
Last Traded Price = Precio de transacción más reciente en la plataforma
La seguridad de este diseño se basa en una suposición clave: que la cantidad de fuentes de datos de entrada es suficiente, que están distribuidas de manera razonable, que tienen alta liquidez y que son difíciles de manipular en conjunto. Sin embargo, en la mayoría de los mercados de efectivo de altcoins, esta suposición no se sostiene. Un atacante solo necesita controlar el precio de unas pocas plataformas de baja liquidez para "contaminar" el precio del índice, inyectando datos maliciosos a través de la fórmula de manera legítima en la marca de precio.
Motor de liquidación: el escudo de la plataforma, también es la hoja
El motor de liquidación utiliza la marca de precio como estándar central para activar la liquidación. Incluso si el precio de transacción del mercado actual no ha alcanzado la línea de liquidación, la liquidación se activará inmediatamente tan pronto como se alcance la marca de precio. Es aún más preocupante el mecanismo de "liquidación forzada". Muchas exchanges utilizan parámetros de liquidación conservadores, y una vez que se activa la liquidación forzada, aunque el precio de liquidación sea mejor que el precio de pérdida real a cero, la plataforma generalmente no devolverá esta parte del "excedente de liquidación forzada".
Este mecanismo es especialmente común en activos de baja liquidez. La plataforma ajustará la línea de liquidación de manera más conservadora para cubrir su propio riesgo, lo que facilitará que las posiciones sean "liquidadas anticipadamente" en medio de la volatilidad de precios. El motor de liquidación debería ser una herramienta de control de riesgos neutral, pero en cuanto a la atribución de beneficios, la selección de parámetros y la lógica de activación, muestra una tendencia a la rentabilidad de la plataforma.
La invalidez de la marca de precio provoca la distorsión del motor de liquidación.
En activos principales con alta liquidez, la teoría de la marca de precio puede ser válida. Pero para las altcoins con poca liquidez y mercados concentrados, su efectividad enfrenta serios desafíos.
Eficacia en grandes conjuntos de datos: Supongamos que el índice de precios contiene 10 fuentes de datos independientes y de alta liquidez, el algoritmo de mediana puede identificar y ignorar fácilmente las cotizaciones extremas.
Vulnerabilidades en conjuntos de datos pequeños: tomando como ejemplo un escenario típico de altcoin.
Escenario de tres fuentes de datos: si el índice solo incluye los precios al contado de tres intercambios (A, B, C). Los actores maliciosos manipulan simultáneamente los precios de A y B, sin importar cuán realista sea el precio de C, la mediana será determinada por los precios manipulados.
Escenario de doble fuente de datos: si el índice solo incluye dos fuentes de datos, la mediana es equivalente a la media, perdiendo completamente la capacidad de eliminar valores atípicos.
Para la mayoría de las altcoins, la profundidad de su comercio y la cantidad de intercambios en los que están listadas son limitadas, lo que facilita caer en la trampa de "conjuntos de datos pequeños". La sensación de seguridad que aporta el "índice de múltiples fuentes" que afirman los intercambios, a menudo es solo una ilusión en el mundo de las altcoins.
Dilema del oráculo: cuando la liquidez al contado se agota y se convierte en un arma
Los oráculos desempeñan el papel de puente en la transmisión de información entre la cadena y fuera de la cadena. Sin embargo, este puente es excepcionalmente frágil cuando hay escasez de liquidez.
Oráculo: un frágil puente que conecta lo on-chain y lo off-chain
Un oráculo es un sistema intermedio que transmite de manera segura datos fuera de la cadena a la cadena. Un oráculo "honesto" no significa que informe de un precio "razonable". Esta característica revela dos tipos de rutas de ataque:
Ataque de oráculo: modificar la fuente de datos o el protocolo del oráculo mediante medios técnicos.
Manipulación del mercado: a través de la operación de mercados externos, se eleva o reduce intencionadamente el precio, los oráculos registran y reportan fielmente este precio de mercado "manipulado".
El último es la sustancia de los eventos de Mango Markets y Jelly-My-Jelly: la "ventana de observación" del oráculo fue contaminada.
Punto de ataque: cuando la falta de liquidez se convierte en un arma
El núcleo de este tipo de ataque radica en aprovechar la desventaja de liquidez de los activos objetivo en el mercado al contado. Para los activos con poca liquidez, pequeñas órdenes pueden provocar fluctuaciones de precios bruscas.
El ataque a Mango Markets en octubre de 2022 es un ejemplo clásico. El atacante aprovechó la extrema falta de liquidez del token MNGO, con un volumen de transacciones de menos de 100,000 dólares el (, invirtiendo aproximadamente 4 millones de dólares para comprar, logrando aumentar el precio de MNGO en más del 2300% en un tiempo extremadamente corto. Este "precio anómalo" fue registrado completamente por el oráculo y alimentado al protocolo en cadena, lo que provocó un aumento masivo en su límite de préstamo, y finalmente "vació legalmente" todos los activos de la plataforma, aproximadamente 116 millones de dólares el ).
Análisis detallado de la ruta de ataque:
Selección de objetivos: Filtrar los tokens que tienen futuros perpetuos en plataformas de derivados convencionales, con precios de oráculos que provienen de intercambios al contado de baja liquidez conocidos y con bajo volumen de transacciones diarias.
Recaudación de capital: la mayoría de los atacantes obtienen grandes fondos temporales a través de "préstamos relámpago".
Mercado spot relámpago: en un tiempo extremadamente corto, se emiten grandes órdenes de compra de forma sincronizada en todos los intercambios monitoreados por oráculos.
Contaminación de oráculos: los oráculos leen precios de intercambios manipulados, y el precio índice resultante está gravemente contaminado.
Marca de precio infectada: el precio del índice contaminado entra en la plataforma de derivados, afectando el cálculo de la marca de precio. El motor de liquidación juzga erróneamente el rango de riesgo, lo que provoca una "liquidación" a gran escala.
Los atacantes pueden utilizar la mecánica de oráculo público de la plataforma, el peso de las fuentes de datos, la frecuencia de actualización de precios y otra información para calcular con precisión cuánto capital invertir en cada intercambio con menor liquidez, lo que les permite distorsionar al máximo el índice ponderado final.
Análisis de los riesgos estructurales de Hyperliquid
El evento Jelly-My-Jelly puede ocurrir en Hyperliquid y causar consecuencias graves, y la causa fundamental radica en la arquitectura de liquidez y el mecanismo de liquidación únicos de la plataforma. Estos diseños, que buscan mejorar la experiencia del usuario y la eficiencia del capital, proporcionan un "campo de caza" ideal para los atacantes.
( HLP Tesorería: Creadores de mercado y contrapartes de liquidación democratizados
El tesoro HLP de Hyperliquid es un fondo gestionado de manera unificada por el protocolo, que cumple con funciones duales:
Como creadores de mercado activos de la plataforma, permitimos a los usuarios de la comunidad participar en estrategias de creación de mercado automatizadas.
Asumir el "respaldo de stop de liquidación" de la plataforma, como la contraparte final de liquidación.
Este diseño convierte a HLP en una entidad receptora que puede ser utilizada de manera determinista y que carece por completo de capacidad de juicio autónomo. Los atacantes pueden predecir quién asumirá su "posición tóxica" una vez que se active la liquidación: un sistema automatizado que ejecuta la lógica del contrato inteligente y actúa al 100% según las reglas.
) defecto estructural del mecanismo de liquidación
El evento Jelly-My-Jelly expuso una falla mortal de Hyperliquid en condiciones de mercado extremas:
La estructura de financiamiento interna del fondo HLP carece de mecanismos de aislamiento, y la reserva de liquidación comparte colaterales con otros fondos estratégicos.
Cuando el fondo de reserva de liquidación cae en pérdidas profundas, debido a que se pueden llamar los activos colaterales de todo el tesoro HLP, el sistema determina que la salud general es buena y no se activa el mecanismo de reducción automática ADL###.
Este mecanismo de garantía compartida elude la línea de defensa de riesgo sistémico ADL, haciendo que las pérdidas que deberían ser asumidas por el mercado en su conjunto se concentren y estallen en el tesoro HLP.
Análisis completo del ataque Jelly-My-Jelly
Etapa uno: Distribución - Trampa de cortos por valor de 4 millones de dólares
El atacante probó la estrategia a través de transacciones de pequeña escala diez días antes del incidente.
El 26 de marzo, el precio de JELLY estaba alrededor de 0.0095 dólares cuando el atacante comenzó a implementar.
Construir una posición corta de aproximadamente 4 millones de dólares mediante el auto-trading, complementada con una posición larga de 3 millones de dólares en operaciones de emparejamiento.
El objetivo es aumentar el OI de los contratos abiertos, evitando provocar fluctuaciones anormales en el mercado.
( Etapa dos: Asalto - Batalla relámpago en el mercado al contado
La capitalización total de JELLY es de aproximadamente 15 millones de dólares, y la profundidad de mercado del 1% es de solo 72 mil dólares.
El atacante inicia un ataque de compra de manera sincronizada en varios intercambios.
El precio de JELLY subió de 0.008 dólares, y en menos de una hora se disparó más del 500%, alcanzando los 0.0517 dólares.
El volumen de transacciones diarias de Bybit supera los 150 millones de dólares, alcanzando un nuevo máximo histórico.
) Fase tres: Explosión - Contaminación del oráculo y cascada de liquidación
El precio al contado se disparó rápidamente y se transmitió al sistema de marca de precio de Hyperliquid.
La marca de precio saltó, lo que activó la posición corta de 4 millones de dólares que los atacantes habían desplegado anteriormente.
El fondo HLP acepta incondicionalmente como contraparte de liquidación, el sistema de liquidación no ha activado el mecanismo ADL para distribuir el riesgo.
Los atacantes lograron "externalizar" las pérdidas por liquidación, haciendo que los proveedores de liquidez de HLP paguen la cuenta.
Etapa cuatro: Olas restantes - Retiro urgente y reflexión del mercado
Binance y OKX lanzaron casi simultáneamente los Futuros perpetuos de JELLY, lo que se interpreta como un "saqueo" a Hyperliquid.
La votación de emergencia de Hyperliquid aprobó las medidas: eliminación permanente del contrato perpetuo JELLY; compensación total a los usuarios de direcciones no atacantes.
La pérdida no realizada del fondo HLP alcanzó un máximo de 12 millones de dólares, el informe oficial final controló la pérdida total en 70 mil dólares en 24 horas.
Conclusión: la "ilusión de marca de precio" en los Futuros perpetuos y la proposición de defensa
Los atacantes del evento Jelly-My-Jelly aprovecharon el defecto estructural matemático del mecanismo de generación de marca de precio: pequeñas fuentes de datos, agregación de medianas, fragmentación de liquidez, y combinaron esto con el mecanismo de liquidación del mercado para operar. Este ataque no requiere tecnología compleja, solo una comprensión profunda de la lógica del protocolo.
El problema fundamental del control del marca de precio es:
Alta relevancia de los datos del oráculo
Tolerancia a valores atípicos del algoritmo de agregación
El sistema de liquidación tiene una "fe ciega" en la marca de precio
Establecer una verdadera "antimanipulación" entre el algoritmo y el juego es un tema importante en el campo de DeFi. El evento Jelly-My-Jelly nos advierte: antes de comprender a fondo la estructura del juego, cualquier mecanismo de liquidación basado en "determinismo" es una entrada potencial para el arbitraje. El diseño de mecanismos requiere una capacidad de autorreflexión para identificar y cerrar los riesgos sistémicos ocultos tras la "belleza matemática".
Que siempre mantengamos un corazón de respeto hacia el mercado. Las matemáticas son simples, las personas son complejas. Solo los juegos históricos se repiten. Saber que así es, y también saber por qué es así.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
4
Compartir
Comentar
0/400
TokenRationEater
· hace7h
Otra vez con los alts, sacando cupones de clip, dentro se juega bastante bien.
Ver originalesResponder0
MeaninglessGwei
· hace8h
marca de precio colgó ahora todo es 🌿 spx
Ver originalesResponder0
HalfPositionRunner
· hace8h
Ha, esta oportunidad ha sido vigilada por alguien, 2k mueve niveles de millones, realmente tienes lo tuyo.
Ver originalesResponder0
VirtualRichDream
· hace8h
Esta trampa es increíble, JELLY me dio una lección.
Riesgos estructurales de la marca de precio de los Futuros perpetuos: desde el evento Jelly-My-Jelly se observa el Algoritmo y el juego.
De algoritmo a juego: el riesgo estructural del marca de precio de los Futuros perpetuos
En marzo de 2025, un pequeño token de nicho llamado JELLY, con un volumen de transacciones inferior a 2 millones de dólares, desató una tormenta de liquidación de decenas de millones de dólares en la plataforma Hyperliquid. No se trató de un ataque de hacker en el sentido tradicional, sino de un "ataque de conformidad" a las reglas del sistema. Los atacantes utilizaron astutamente la lógica de cálculo y los mecanismos de control de riesgos públicos de la plataforma, convirtiendo el marca de precio, que debería haber sido un ancla de "neutralidad y seguridad" en el mercado, en un arma letal.
Este incidente revela el riesgo sistémico del mecanismo de marca de precio en el mercado de Futuros perpetuos de las monedas alternativas, exponiendo la asimetría inherente de la lógica de liquidación actual en la protección de los fondos de los usuarios en situaciones extremas. Este artículo analizará en profundidad los principios detrás de este evento y sus implicaciones para la industria desde dos niveles: teórico y práctico.
El núcleo de la paradoja de los Futuros perpetuos: el sesgo del mecanismo de liquidación que proporciona una falsa sensación de seguridad
marca de precio: una partida de consenso que se creía segura
El cálculo de la marca de precio generalmente utiliza un mecanismo de mediana de tres valores, construido en torno al "precio índice". El precio índice se obtiene mediante un promedio ponderado de los precios de múltiples plataformas de spot principales, con el objetivo de proporcionar un precio de referencia justo entre plataformas.
El método típico de cálculo de la marca de precio es:
Marca de precio = Mediana (Precio1, Precio2, Último precio negociado)
Entre:
La seguridad de este diseño se basa en una suposición clave: que la cantidad de fuentes de datos de entrada es suficiente, que están distribuidas de manera razonable, que tienen alta liquidez y que son difíciles de manipular en conjunto. Sin embargo, en la mayoría de los mercados de efectivo de altcoins, esta suposición no se sostiene. Un atacante solo necesita controlar el precio de unas pocas plataformas de baja liquidez para "contaminar" el precio del índice, inyectando datos maliciosos a través de la fórmula de manera legítima en la marca de precio.
Motor de liquidación: el escudo de la plataforma, también es la hoja
El motor de liquidación utiliza la marca de precio como estándar central para activar la liquidación. Incluso si el precio de transacción del mercado actual no ha alcanzado la línea de liquidación, la liquidación se activará inmediatamente tan pronto como se alcance la marca de precio. Es aún más preocupante el mecanismo de "liquidación forzada". Muchas exchanges utilizan parámetros de liquidación conservadores, y una vez que se activa la liquidación forzada, aunque el precio de liquidación sea mejor que el precio de pérdida real a cero, la plataforma generalmente no devolverá esta parte del "excedente de liquidación forzada".
Este mecanismo es especialmente común en activos de baja liquidez. La plataforma ajustará la línea de liquidación de manera más conservadora para cubrir su propio riesgo, lo que facilitará que las posiciones sean "liquidadas anticipadamente" en medio de la volatilidad de precios. El motor de liquidación debería ser una herramienta de control de riesgos neutral, pero en cuanto a la atribución de beneficios, la selección de parámetros y la lógica de activación, muestra una tendencia a la rentabilidad de la plataforma.
La invalidez de la marca de precio provoca la distorsión del motor de liquidación.
En activos principales con alta liquidez, la teoría de la marca de precio puede ser válida. Pero para las altcoins con poca liquidez y mercados concentrados, su efectividad enfrenta serios desafíos.
Eficacia en grandes conjuntos de datos: Supongamos que el índice de precios contiene 10 fuentes de datos independientes y de alta liquidez, el algoritmo de mediana puede identificar y ignorar fácilmente las cotizaciones extremas.
Vulnerabilidades en conjuntos de datos pequeños: tomando como ejemplo un escenario típico de altcoin.
Para la mayoría de las altcoins, la profundidad de su comercio y la cantidad de intercambios en los que están listadas son limitadas, lo que facilita caer en la trampa de "conjuntos de datos pequeños". La sensación de seguridad que aporta el "índice de múltiples fuentes" que afirman los intercambios, a menudo es solo una ilusión en el mundo de las altcoins.
Dilema del oráculo: cuando la liquidez al contado se agota y se convierte en un arma
Los oráculos desempeñan el papel de puente en la transmisión de información entre la cadena y fuera de la cadena. Sin embargo, este puente es excepcionalmente frágil cuando hay escasez de liquidez.
Oráculo: un frágil puente que conecta lo on-chain y lo off-chain
Un oráculo es un sistema intermedio que transmite de manera segura datos fuera de la cadena a la cadena. Un oráculo "honesto" no significa que informe de un precio "razonable". Esta característica revela dos tipos de rutas de ataque:
El último es la sustancia de los eventos de Mango Markets y Jelly-My-Jelly: la "ventana de observación" del oráculo fue contaminada.
Punto de ataque: cuando la falta de liquidez se convierte en un arma
El núcleo de este tipo de ataque radica en aprovechar la desventaja de liquidez de los activos objetivo en el mercado al contado. Para los activos con poca liquidez, pequeñas órdenes pueden provocar fluctuaciones de precios bruscas.
El ataque a Mango Markets en octubre de 2022 es un ejemplo clásico. El atacante aprovechó la extrema falta de liquidez del token MNGO, con un volumen de transacciones de menos de 100,000 dólares el (, invirtiendo aproximadamente 4 millones de dólares para comprar, logrando aumentar el precio de MNGO en más del 2300% en un tiempo extremadamente corto. Este "precio anómalo" fue registrado completamente por el oráculo y alimentado al protocolo en cadena, lo que provocó un aumento masivo en su límite de préstamo, y finalmente "vació legalmente" todos los activos de la plataforma, aproximadamente 116 millones de dólares el ).
Análisis detallado de la ruta de ataque:
Selección de objetivos: Filtrar los tokens que tienen futuros perpetuos en plataformas de derivados convencionales, con precios de oráculos que provienen de intercambios al contado de baja liquidez conocidos y con bajo volumen de transacciones diarias.
Recaudación de capital: la mayoría de los atacantes obtienen grandes fondos temporales a través de "préstamos relámpago".
Mercado spot relámpago: en un tiempo extremadamente corto, se emiten grandes órdenes de compra de forma sincronizada en todos los intercambios monitoreados por oráculos.
Contaminación de oráculos: los oráculos leen precios de intercambios manipulados, y el precio índice resultante está gravemente contaminado.
Marca de precio infectada: el precio del índice contaminado entra en la plataforma de derivados, afectando el cálculo de la marca de precio. El motor de liquidación juzga erróneamente el rango de riesgo, lo que provoca una "liquidación" a gran escala.
Los atacantes pueden utilizar la mecánica de oráculo público de la plataforma, el peso de las fuentes de datos, la frecuencia de actualización de precios y otra información para calcular con precisión cuánto capital invertir en cada intercambio con menor liquidez, lo que les permite distorsionar al máximo el índice ponderado final.
Análisis de los riesgos estructurales de Hyperliquid
El evento Jelly-My-Jelly puede ocurrir en Hyperliquid y causar consecuencias graves, y la causa fundamental radica en la arquitectura de liquidez y el mecanismo de liquidación únicos de la plataforma. Estos diseños, que buscan mejorar la experiencia del usuario y la eficiencia del capital, proporcionan un "campo de caza" ideal para los atacantes.
( HLP Tesorería: Creadores de mercado y contrapartes de liquidación democratizados
El tesoro HLP de Hyperliquid es un fondo gestionado de manera unificada por el protocolo, que cumple con funciones duales:
Este diseño convierte a HLP en una entidad receptora que puede ser utilizada de manera determinista y que carece por completo de capacidad de juicio autónomo. Los atacantes pueden predecir quién asumirá su "posición tóxica" una vez que se active la liquidación: un sistema automatizado que ejecuta la lógica del contrato inteligente y actúa al 100% según las reglas.
) defecto estructural del mecanismo de liquidación
El evento Jelly-My-Jelly expuso una falla mortal de Hyperliquid en condiciones de mercado extremas:
Análisis completo del ataque Jelly-My-Jelly
Etapa uno: Distribución - Trampa de cortos por valor de 4 millones de dólares
( Etapa dos: Asalto - Batalla relámpago en el mercado al contado
) Fase tres: Explosión - Contaminación del oráculo y cascada de liquidación
Etapa cuatro: Olas restantes - Retiro urgente y reflexión del mercado
![]###https://img-cdn.gateio.im/webp-social/moments-d2d38f5e229eee96ccd07700caa11b05.webp###
Conclusión: la "ilusión de marca de precio" en los Futuros perpetuos y la proposición de defensa
Los atacantes del evento Jelly-My-Jelly aprovecharon el defecto estructural matemático del mecanismo de generación de marca de precio: pequeñas fuentes de datos, agregación de medianas, fragmentación de liquidez, y combinaron esto con el mecanismo de liquidación del mercado para operar. Este ataque no requiere tecnología compleja, solo una comprensión profunda de la lógica del protocolo.
El problema fundamental del control del marca de precio es:
Establecer una verdadera "antimanipulación" entre el algoritmo y el juego es un tema importante en el campo de DeFi. El evento Jelly-My-Jelly nos advierte: antes de comprender a fondo la estructura del juego, cualquier mecanismo de liquidación basado en "determinismo" es una entrada potencial para el arbitraje. El diseño de mecanismos requiere una capacidad de autorreflexión para identificar y cerrar los riesgos sistémicos ocultos tras la "belleza matemática".
Que siempre mantengamos un corazón de respeto hacia el mercado. Las matemáticas son simples, las personas son complejas. Solo los juegos históricos se repiten. Saber que así es, y también saber por qué es así.