Do Algoritmo ao Jogo: Risco Estrutural do Preço de Marca dos Futuros Perpétuos
Em março de 2025, um token de nicho chamado JELLY, com um volume de negociação inferior a 2 milhões de dólares, provocou uma tempestade de liquidação de dezenas de milhões de dólares na plataforma Hyperliquid. Isso não foi um ataque hacker no sentido tradicional, mas sim um "ataque de conformidade" às regras do sistema. O atacante aproveitou habilmente a lógica de cálculo e os mecanismos de gerenciamento de risco públicos da plataforma, transformando o preço de marca, que deveria servir como um âncora "neutra e segura" para o mercado, em uma arma letal.
Este incidente revela os riscos sistêmicos do mecanismo de preço de marca no mercado de Futuros Perpétuos de altcoins, expondo a assimetria inerente à proteção dos fundos dos usuários pela lógica de liquidação predominante em situações extremas. Este artigo analisará, em dois níveis, teórico e prático, os princípios por trás deste evento e suas implicações para a indústria.
Futuros Perpétuos: a inclinação do mecanismo de liquidação trazida pela falsa sensação de segurança
preço de marca: uma ilusão de um jogo de consenso seguro
O cálculo do preço de marca geralmente adota um mecanismo de mediana de três valores, construído em torno do "preço índice". O preço índice é obtido através da média ponderada dos preços de várias plataformas de spot principais, visando fornecer um preço de referência justo entre plataformas.
A maneira típica de cálculo do preço de marca é:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
Entre:
Price1 = preço de marca × (1 + taxa de financiamento base )
Price2 = preço de índice + base móvel média
Last Traded Price = preço de marca
A segurança desse design é baseada em uma suposição chave: que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em sinergia. No entanto, essa suposição não se sustenta na maioria dos mercados à vista de altcoins. Um atacante só precisa controlar os preços de algumas plataformas de baixa liquidez para "contaminar" o preço do índice, injetando dados maliciosos de forma legítima no preço de marca através da fórmula.
Motor de liquidação: o escudo da plataforma, também é a lâmina
O motor de liquidação tem como padrão central o preço de marca. Mesmo que o preço de mercado atual ainda não tenha atingido a linha de liquidação, assim que o preço de marca for alcançado, a liquidação será imediatamente acionada. É ainda mais preocupante o mecanismo de "liquidação forçada". Muitas exchanges adotam parâmetros de liquidação conservadores; após a ativação da liquidação forçada, mesmo que o preço de fechamento seja superior ao preço de perda real de zero, a plataforma geralmente não reembolsa essa parte do "excedente de liquidação forçada".
Este mecanismo é especialmente comum em ativos com baixa liquidez. A plataforma, para se proteger de riscos, ajustará a linha de liquidação de forma mais conservadora, tornando mais fácil que a posição seja "liquidada antecipadamente" durante as flutuações de preços. O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas na atribuição de rendimentos, escolha de parâmetros e lógica de ativação, apresenta uma tendência para a lucratividade da plataforma.
O fracasso do preço de marca leva à distorção do motor de liquidação
Em ativos mainstream com alta liquidez, a teoria do preço de marca pode ser válida. Mas para altcoins com baixa liquidez e mercados de negociação concentrados, a sua eficácia enfrenta desafios severos.
Eficácia em grandes conjuntos de dados: suponha que o índice de preços contenha 10 fontes de dados independentes e de alta liquidez, o algoritmo da mediana pode facilmente identificar e ignorar cotações extremas.
Vulnerabilidades em pequenos conjuntos de dados: tomando como exemplo um cenário típico de criptomoeda.
Cenário de três fontes de dados: se o índice contiver apenas os preços à vista das três exchanges (A, B, C). Um agente malicioso manipula simultaneamente os preços de A e B, independentemente de quão verdadeiro seja o preço de C, a mediana será determinada pelos preços manipulados.
Cenário de duas fontes de dados: se o índice contém apenas duas fontes de dados, a mediana é equivalente à média, perdendo completamente a capacidade de eliminar valores atípicos.
Para a maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são limitados, tornando-as suscetíveis à armadilha do "pequeno conjunto de dados". A sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas é frequentemente apenas uma ilusão no mundo das altcoins.
Dilema do Oráculo: Quando a liquidez do mercado à vista se esgota e se torna uma arma
Os oráculos desempenham o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, esta ponte é extremamente frágil quando a liquidez é escassa.
Oráculo: a frágil ponte que conecta on-chain e off-chain
Um oráculo é um sistema de middleware que transmite dados off-chain de forma segura para a blockchain. Um oráculo "honesto" não significa que ele reporta preços "razoáveis". Esta característica revela dois tipos de caminhos de ataque:
Ataque de oráculo: manipulação da fonte de dados ou protocolo do oráculo por meios técnicos.
Manipulação de mercado: ao operar no mercado externo, puxar ou pressionar deliberadamente os preços, o oráculo registra e relata de forma precisa esse preço de mercado "manipulado".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: a "janela de observação" do oráculo foi contaminada.
Ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque reside em aproveitar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com baixa liquidez, pequenas ordens podem causar flutuações de preço acentuadas.
O ataque ao Mango Markets em outubro de 2022 é um exemplo clássico. O atacante aproveitou a extrema exaustão de liquidez do token MNGO, com um volume de negociação inferior a 100 mil dólares no dia (, investindo cerca de 4 milhões de dólares para comprar, conseguindo assim elevar o preço do MNGO em mais de 2300% em um curto período de tempo. Esse "preço anômalo" foi registrado integralmente pelo oráculo e enviado para o protocolo on-chain, resultando em um aumento explosivo no limite de empréstimo, e, finalmente, "legalmente" esvaziou todos os ativos da plataforma, cerca de 116 milhões de dólares, em ).
Análise detalhada do caminho de ataque:
Seleção de objetivos: Filtrar contratos perpétuos lançados em plataformas de derivados mainstream, com preços de oráculo provenientes de exchanges spot de baixa liquidez conhecidas e tokens com baixo volume diário de negociação.
Captação de Capital: A maioria dos atacantes obtém fundos temporários substanciais através de "empréstimos relâmpago".
Mercado à Vista Flash: Em um curto espaço de tempo, são emitidos simultaneamente grandes ordens de compra em todas as bolsas monitoradas por oráculos.
Poluição de Oráculos: Os oráculos leem os preços de exchanges manipuladas, resultando em preços de índice gravemente poluídos.
Preço de marca infectado: o índice de preços contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, acionando uma grande "liquidação".
Os atacantes podem aproveitar o mecanismo de oráculo público da plataforma, o peso das fontes de dados, a frequência de atualização de preços e outras informações para calcular com precisão quanto capital investir em cada bolsa com a liquidez mais fraca, podendo distorcer ao máximo o índice ponderado final.
Análise dos riscos estruturais da Hyperliquid
O evento Jelly-My-Jelly pode ocorrer na Hyperliquid e causar consequências graves, sendo a causa raiz a arquitetura de liquidez e o mecanismo de liquidação exclusivos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência do capital, proporcionam um "campo de caça" ideal para os atacantes.
( HLP Cofragem: market makers e contrapartes de liquidação democratizados
O cofre HLP da Hyperliquid é um fundo gerido de forma unificada pelo protocolo, que desempenha funções duplas:
Como formador de mercado ativo da plataforma, permite que os usuários da comunidade participem de estratégias de formação de mercado automatizadas.
Assumir o "colchão de liquidação stop loss" da plataforma, como contraparte final de liquidação.
Este design faz com que o HLP seja uma entidade de recepção que pode ser utilizada de forma determinística, totalmente desprovida de capacidade de julgamento autônomo. Os atacantes podem prever quem irá assumir a sua "posição tóxica" uma vez que a liquidação seja acionada - um sistema automatizado que executa a lógica de contratos inteligentes e age 100% de acordo com as regras.
) Defeitos estruturais do mecanismo de liquidação
O evento Jelly-My-Jelly expôs uma falha fatal da Hyperliquid em condições de mercado extremas:
A estrutura de fundos interna do cofre HLP carece de mecanismos de isolamento, o pool de reservas de liquidação compartilha colaterais com outros pools de estratégia.
Quando o pool de reserva de liquidação entra em perdas profundas, devido aos ativos colaterais do HLP que podem ser chamados, o sistema determina que a saúde geral é boa, não acionando o mecanismo de redução automática ADL###.
Este mecanismo de colateralização compartilhada contorna a linha de defesa de risco sistêmico do ADL, fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo se concentrem na tesouraria HLP.
Análise Completa do Ataque Jelly-My-Jelly
Fase Um: Disposição - Armadilha de venda no valor de 4 milhões de dólares
O atacante testou a estratégia através de transações em pequena escala dez dias antes do incidente.
No dia 26 de março, o preço do JELLY estava em torno de 0,0095 dólares, quando o atacante começou a implementar.
Construir uma posição curta de cerca de 4 milhões de dólares através de auto-negociação, complementada por uma posição longa de 3 milhões de dólares.
O objetivo é aumentar o OI de contratos em aberto, evitando provocar flutuações anormais no mercado.
( Fase Dois: Ataque - A Batalha Relâmpago do Mercado à Vista
A capitalização de mercado da JELLY é de apenas cerca de 15 milhões de dólares, com uma profundidade de mercado de 1% de apenas 72 mil dólares.
O atacante lançou um ataque de compra simultaneamente em várias exchanges.
O preço do JELLY subiu de 0,008 dólares, aumentando mais de 500% em menos de uma hora, atingindo 0,0517 dólares.
O volume de negociação diário da Bybit ultrapassou 150 milhões de dólares, atingindo um novo recorde histórico.
) Fase Três: Explosão - Poluição do Oráculo e Cascata de Liquidação
O preço à vista disparou rapidamente, sendo transmitido para o sistema de preço de marca da Hyperliquid.
O preço de marca saltou, acionando a posição vendida de 4 milhões de dólares previamente implantada pelos atacantes.
O cofre HLP assume incondicionalmente o papel de contraparte na liquidação, o sistema de liquidação não acionou o mecanismo ADL para compartilhar riscos.
O atacante conseguiu "transferir" a perda de liquidação para a sociedade, fazendo com que os provedores de liquidez HLP arcam com o custo.
Fase Quatro: Ondas Remanescentes - Retirada Emergencial e Reflexão de Mercado
A Binance e a OKX lançaram quase em simultâneo os Futuros Perpétuos JELLY, sendo interpretado como uma "saque em meio ao incêndio" em relação à Hyperliquid.
Votação de emergência da Hyperliquid aprovada para medidas de resposta: deslistagem permanente do Futuros Perpétuos JELLY; compensação total para usuários de endereços não atacantes.
O cofre HLP teve uma perda não realizada que chegou a 12 milhões de dólares, e o relatório oficial finalizou que a perda total em 24 horas foi controlada em 700 mil dólares.
Conclusão: o "ilusão de marca" dos Futuros Perpétuos e a proposta de defesa
Os atacantes do evento Jelly-My-Jelly exploraram a falha estrutural matemática do mecanismo de geração de preço de marca: pequenas fontes de dados, agregação de mediana e fragmentação de liquidez, combinando isso com o mecanismo de liquidação do mercado para operar. Este ataque não requer tecnologia complexa, apenas uma compreensão profunda da lógica do protocolo.
O problema fundamental do controle do preço de marca é:
Alta relevância dos dados do oráculo
Tolerância a outliers do algoritmo de agregação
O sistema de liquidação "confia cegamente" no preço de marca
Entre algoritmos e jogos, estabelecer uma verdadeira "anti-manipulação" é um importante desafio no campo da DeFi. O incidente Jelly-My-Jelly nos alerta: sem uma compreensão profunda da estrutura do jogo, qualquer mecanismo de liquidação baseado em "determinismo" é uma entrada potencial para arbitragem. O design de mecanismos precisa de capacidade de autorreflexão, capaz de identificar e bloquear os riscos sistêmicos encobertos pela "beleza matemática".
Que possamos sempre manter um coração de reverência pelo mercado. A matemática é simples, as pessoas são complexas. Somente a história do jogo se repete. Saber o que é, e também saber por que é.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
9 gostos
Recompensa
9
4
Partilhar
Comentar
0/400
TokenRationEater
· 8h atrás
Outra vez a fazer Cupões de Recorte com alts, está a ser bastante divertido.
Ver originalResponder0
MeaninglessGwei
· 8h atrás
preço de marca挂了 现在全是🌿 spx
Ver originalResponder0
HalfPositionRunner
· 8h atrás
Ah, essa brecha foi notada por alguém, 2 milhões movimentaram um nível de dezenas de milhões, você realmente é bom.
Ver originalResponder0
VirtualRichDream
· 8h atrás
Esta armadilha é muito boa, JELLY me deu uma aula.
Risco estrutural do preço de marca dos Futuros Perpétuos: uma análise do algoritmo e do jogo a partir do evento Jelly-My-Jelly
Do Algoritmo ao Jogo: Risco Estrutural do Preço de Marca dos Futuros Perpétuos
Em março de 2025, um token de nicho chamado JELLY, com um volume de negociação inferior a 2 milhões de dólares, provocou uma tempestade de liquidação de dezenas de milhões de dólares na plataforma Hyperliquid. Isso não foi um ataque hacker no sentido tradicional, mas sim um "ataque de conformidade" às regras do sistema. O atacante aproveitou habilmente a lógica de cálculo e os mecanismos de gerenciamento de risco públicos da plataforma, transformando o preço de marca, que deveria servir como um âncora "neutra e segura" para o mercado, em uma arma letal.
Este incidente revela os riscos sistêmicos do mecanismo de preço de marca no mercado de Futuros Perpétuos de altcoins, expondo a assimetria inerente à proteção dos fundos dos usuários pela lógica de liquidação predominante em situações extremas. Este artigo analisará, em dois níveis, teórico e prático, os princípios por trás deste evento e suas implicações para a indústria.
Futuros Perpétuos: a inclinação do mecanismo de liquidação trazida pela falsa sensação de segurança
preço de marca: uma ilusão de um jogo de consenso seguro
O cálculo do preço de marca geralmente adota um mecanismo de mediana de três valores, construído em torno do "preço índice". O preço índice é obtido através da média ponderada dos preços de várias plataformas de spot principais, visando fornecer um preço de referência justo entre plataformas.
A maneira típica de cálculo do preço de marca é:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
Entre:
A segurança desse design é baseada em uma suposição chave: que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em sinergia. No entanto, essa suposição não se sustenta na maioria dos mercados à vista de altcoins. Um atacante só precisa controlar os preços de algumas plataformas de baixa liquidez para "contaminar" o preço do índice, injetando dados maliciosos de forma legítima no preço de marca através da fórmula.
Motor de liquidação: o escudo da plataforma, também é a lâmina
O motor de liquidação tem como padrão central o preço de marca. Mesmo que o preço de mercado atual ainda não tenha atingido a linha de liquidação, assim que o preço de marca for alcançado, a liquidação será imediatamente acionada. É ainda mais preocupante o mecanismo de "liquidação forçada". Muitas exchanges adotam parâmetros de liquidação conservadores; após a ativação da liquidação forçada, mesmo que o preço de fechamento seja superior ao preço de perda real de zero, a plataforma geralmente não reembolsa essa parte do "excedente de liquidação forçada".
Este mecanismo é especialmente comum em ativos com baixa liquidez. A plataforma, para se proteger de riscos, ajustará a linha de liquidação de forma mais conservadora, tornando mais fácil que a posição seja "liquidada antecipadamente" durante as flutuações de preços. O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas na atribuição de rendimentos, escolha de parâmetros e lógica de ativação, apresenta uma tendência para a lucratividade da plataforma.
O fracasso do preço de marca leva à distorção do motor de liquidação
Em ativos mainstream com alta liquidez, a teoria do preço de marca pode ser válida. Mas para altcoins com baixa liquidez e mercados de negociação concentrados, a sua eficácia enfrenta desafios severos.
Eficácia em grandes conjuntos de dados: suponha que o índice de preços contenha 10 fontes de dados independentes e de alta liquidez, o algoritmo da mediana pode facilmente identificar e ignorar cotações extremas.
Vulnerabilidades em pequenos conjuntos de dados: tomando como exemplo um cenário típico de criptomoeda.
Para a maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são limitados, tornando-as suscetíveis à armadilha do "pequeno conjunto de dados". A sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas é frequentemente apenas uma ilusão no mundo das altcoins.
Dilema do Oráculo: Quando a liquidez do mercado à vista se esgota e se torna uma arma
Os oráculos desempenham o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, esta ponte é extremamente frágil quando a liquidez é escassa.
Oráculo: a frágil ponte que conecta on-chain e off-chain
Um oráculo é um sistema de middleware que transmite dados off-chain de forma segura para a blockchain. Um oráculo "honesto" não significa que ele reporta preços "razoáveis". Esta característica revela dois tipos de caminhos de ataque:
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: a "janela de observação" do oráculo foi contaminada.
Ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque reside em aproveitar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com baixa liquidez, pequenas ordens podem causar flutuações de preço acentuadas.
O ataque ao Mango Markets em outubro de 2022 é um exemplo clássico. O atacante aproveitou a extrema exaustão de liquidez do token MNGO, com um volume de negociação inferior a 100 mil dólares no dia (, investindo cerca de 4 milhões de dólares para comprar, conseguindo assim elevar o preço do MNGO em mais de 2300% em um curto período de tempo. Esse "preço anômalo" foi registrado integralmente pelo oráculo e enviado para o protocolo on-chain, resultando em um aumento explosivo no limite de empréstimo, e, finalmente, "legalmente" esvaziou todos os ativos da plataforma, cerca de 116 milhões de dólares, em ).
Análise detalhada do caminho de ataque:
Seleção de objetivos: Filtrar contratos perpétuos lançados em plataformas de derivados mainstream, com preços de oráculo provenientes de exchanges spot de baixa liquidez conhecidas e tokens com baixo volume diário de negociação.
Captação de Capital: A maioria dos atacantes obtém fundos temporários substanciais através de "empréstimos relâmpago".
Mercado à Vista Flash: Em um curto espaço de tempo, são emitidos simultaneamente grandes ordens de compra em todas as bolsas monitoradas por oráculos.
Poluição de Oráculos: Os oráculos leem os preços de exchanges manipuladas, resultando em preços de índice gravemente poluídos.
Preço de marca infectado: o índice de preços contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, acionando uma grande "liquidação".
Os atacantes podem aproveitar o mecanismo de oráculo público da plataforma, o peso das fontes de dados, a frequência de atualização de preços e outras informações para calcular com precisão quanto capital investir em cada bolsa com a liquidez mais fraca, podendo distorcer ao máximo o índice ponderado final.
Análise dos riscos estruturais da Hyperliquid
O evento Jelly-My-Jelly pode ocorrer na Hyperliquid e causar consequências graves, sendo a causa raiz a arquitetura de liquidez e o mecanismo de liquidação exclusivos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência do capital, proporcionam um "campo de caça" ideal para os atacantes.
( HLP Cofragem: market makers e contrapartes de liquidação democratizados
O cofre HLP da Hyperliquid é um fundo gerido de forma unificada pelo protocolo, que desempenha funções duplas:
Este design faz com que o HLP seja uma entidade de recepção que pode ser utilizada de forma determinística, totalmente desprovida de capacidade de julgamento autônomo. Os atacantes podem prever quem irá assumir a sua "posição tóxica" uma vez que a liquidação seja acionada - um sistema automatizado que executa a lógica de contratos inteligentes e age 100% de acordo com as regras.
) Defeitos estruturais do mecanismo de liquidação
O evento Jelly-My-Jelly expôs uma falha fatal da Hyperliquid em condições de mercado extremas:
Análise Completa do Ataque Jelly-My-Jelly
Fase Um: Disposição - Armadilha de venda no valor de 4 milhões de dólares
( Fase Dois: Ataque - A Batalha Relâmpago do Mercado à Vista
) Fase Três: Explosão - Poluição do Oráculo e Cascata de Liquidação
Fase Quatro: Ondas Remanescentes - Retirada Emergencial e Reflexão de Mercado
![]###https://img-cdn.gateio.im/webp-social/moments-d2d38f5e229eee96ccd07700caa11b05.webp###
Conclusão: o "ilusão de marca" dos Futuros Perpétuos e a proposta de defesa
Os atacantes do evento Jelly-My-Jelly exploraram a falha estrutural matemática do mecanismo de geração de preço de marca: pequenas fontes de dados, agregação de mediana e fragmentação de liquidez, combinando isso com o mecanismo de liquidação do mercado para operar. Este ataque não requer tecnologia complexa, apenas uma compreensão profunda da lógica do protocolo.
O problema fundamental do controle do preço de marca é:
Entre algoritmos e jogos, estabelecer uma verdadeira "anti-manipulação" é um importante desafio no campo da DeFi. O incidente Jelly-My-Jelly nos alerta: sem uma compreensão profunda da estrutura do jogo, qualquer mecanismo de liquidação baseado em "determinismo" é uma entrada potencial para arbitragem. O design de mecanismos precisa de capacidade de autorreflexão, capaz de identificar e bloquear os riscos sistêmicos encobertos pela "beleza matemática".
Que possamos sempre manter um coração de reverência pelo mercado. A matemática é simples, as pessoas são complexas. Somente a história do jogo se repete. Saber o que é, e também saber por que é.