Quand le prix de marque devient une arme : analyse des risques systémiques sur le marché des Futures Perpétuel
En mars 2025, un jeton peu connu, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur Hyperliquid. L'attaquant a exploité la logique de calcul, les processus algorithmiques et les mécanismes de contrôle des risques publics de la plateforme pour orchestrer une "attaque sans code" d'une puissance dévastatrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de "boussole neutre et sécurisée" sur le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins, tant sur le plan théorique que pratique, et effectuera un examen détaillé de l'incident de l'attaque Jelly-My-Jelly. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants (HLP Vault), mais a également exposé l'asymétrie intrinsèque de la protection des fonds des utilisateurs par la logique de liquidation actuelle en cas de conditions de marché extrêmes.
Première partie : Le paradoxe central des Futures Perpétuels - L'inclinaison du mécanisme de liquidation due à un faux sentiment de sécurité
1.1 prix de marque : une tendance de liquidation résultant d'un jeu de consensus perçu comme sûr
Le principe fondamental du prix de marque repose sur un mécanisme de médiane à trois valeurs construit autour du "prix indiciel". Le prix indiciel est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de marché au comptant de premier plan, visant à fournir un prix de référence équitable à l'échelle inter-plateformes et inter-régionales.
La méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Price1 = prix de marque × (1 + taux de financement de base )
Price2 = prix d'indice + écart de moyenne mobile
Last Traded Price = prix de marque sur la plateforme des dérivés
L'introduction de la médiane vise à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur l'hypothèse que la quantité de sources de données entrantes est suffisante, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière coordonnée.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque via une formule. Cette attaque peut déclencher des liquidations massives à effet de levier à un coût minimal, provoquant un effet domino.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché fluctue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé. Le critère de déclenchement le plus important est le prix de marque, et non le dernier prix de transaction de la plateforme.
Il est d'autant plus important de faire attention au mécanisme de "liquidation forcée" (ou liquidation anticipée). De nombreuses bourses, pour éviter le risque de sous-couverture, adoptent souvent des paramètres de liquidation plutôt conservateurs dans leur système de gestion des risques. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix à partir duquel les pertes réelles atteignent zéro, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
1.3 L'échec du prix de marque entraîne une distorsion du moteur de liquidation
La théorie du prix de marque propose une référence de prix équitable et résistante à la manipulation en agrégeant des données multi-sources et un algorithme de médiane. Cependant, cette théorie peut s'appliquer aux actifs majeurs avec une liquidité abondante, mais face aux altcoins à faible liquidité et aux lieux de trading concentrés, son efficacité sera confrontée à de sérieux défis.
Pour la grande majorité des altcoins, la profondeur de leur marché et le nombre d'échanges où ils sont listés sont très limités, ce qui les rend facilement sujets au piège des "petits ensembles de données" en ce qui concerne leur indice de prix. Par conséquent, le sentiment de sécurité apporté par le "indice multi-sources" proclamé par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Dans de nombreux cas, le dernier prix de transaction est souvent équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles : quand la liquidité au comptant s'épuise et devient une arme
2.1 Oracles : un pont fragile reliant on-chain et off-chain
Un oracle de prix est un système intermédiaire responsable de la transmission sécurisée et fiable des données hors chaîne vers la chaîne, fournissant des entrées d'informations du "monde réel" pour le fonctionnement des contrats intelligents. Cependant, un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux.
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque de Mango Markets en octobre 2022 est qualifiée de "modèle". L'attaquant a profité de l'extrême épuisement de la liquidité de MNGO en investissant environ 4 millions de dollars sur plusieurs échanges, réussissant à faire grimper le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été intégralement enregistré par l'oracle et transmis au protocole sur la chaîne, entraînant une explosion de la capacité d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme.
Analyse détaillée des chemins d'attaque :
Sélection des objectifs
Levée de fonds
Marché au comptant flash
Pollution des oracles
prix de marque infection
Troisième partie : Terrain de chasse - Analyse des risques structurels de Hyperliquid
3.1 HLP Trésorerie : Market makers et contreparties de liquidation démocratisés
Le coffre-fort HLP de Hyperliquid est un pool de fonds géré de manière unifiée par le protocole, ayant une double fonction. Il sert à la fois d'agent de marché actif pour la plateforme et de "couverture pour les liquidations" de la plateforme. Ce design attire non seulement les spéculateurs, mais aussi des entités plus dangereuses : les attaquants cherchant à manipuler le marché de manière délibérée.
3.2 Les défauts structurels du mécanisme de liquidation
L'incident Jelly-My-Jelly a révélé une vulnérabilité mortelle de Hyperliquid dans des conditions de marché extrêmes, qui trouve son origine dans la structure de financement et le modèle de liquidation de la trésorerie HLP. Il n'y a pas de mécanisme d'isolation strict entre le pool de réserve de liquidation et d'autres pools de fonds exécutant des stratégies de market making, ils partagent les mêmes garanties.
Lorsque le pool de réserve de liquidation a déjà subi des pertes importantes, il peut faire appel aux actifs de garantie des autres pools stratégiques dans l'ensemble du coffre-fort HLP. Le système détermine que la "santé globale" de l'ensemble du coffre-fort HLP reste bonne, ce qui n'active pas le mécanisme de gestion des risques. Ce design de mécanisme de garantie partagé contourne accidentellement la ligne de défense contre le risque systémique de l'ADL.
Quatrième partie : Analyse de cas - Revue complète de l'attaque Jelly-My-Jelly
4.1 Phase 1 : Disposition - Piège à short d'une valeur de 4 millions de dollars
Le 26 mars, alors que le prix au comptant de JELLY oscillait autour de 0,0095 $, l'attaquant a commencé à mettre en œuvre la première phase. L'attaquant a construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des contrats à terme perpétuels de JELLY par le biais de transactions auto-exécutées, accompagnée d'une position longue de contrepartie totalisant 3 millions de dollars.
4.2 Étape deux : Raid - Blitzkrieg sur le marché au comptant
Les attaquants ont lancé une offensive d'achat simultanée sur plusieurs échanges centralisés et décentralisés. Le prix au comptant de JELLY a rapidement été propulsé en peu de temps, passant de 0,008 $ à une hausse de plus de 500 % en moins d'une heure, atteignant un pic à 0,0517 $.
4.3 Phase trois : déclenchement - pollution des oracles et cascade de liquidation
La forte hausse des prix au comptant se propage rapidement au système de prix de marque de Hyperliquid. L'augmentation soudaine du prix de marque a directement déclenché les positions de vente à découvert que les attaquants avaient précédemment déployées. Étant donné que le trésor HLP agit en tant que contrepartie de liquidation de la plateforme, il reprend sans condition selon la logique du contrat intelligent, et l'ensemble des positions à haut risque se dirige directement vers HLP.
4.4 Étape quatre : Répliques - Retrait d'urgence et réflexion sur le marché
Face à la pression énorme du marché et de la communauté, les nœuds validateurs de Hyperliquid ont voté en urgence, adoptant plusieurs mesures de réponse : retirer immédiatement et définitivement le contrat à terme JELLY ; financer par la fondation, une compensation intégrale pour tous les utilisateurs affectés dont les adresses ne sont pas attaquantes.
Conclusion - L'"illusion de marque" des Futures Perpétuel et la proposition de défense
Les attaquants de l'événement Jelly-My-Jelly n'ont pas dépendu de vulnérabilités complexes des contrats ou de méthodes cryptographiques, ils ont simplement décelé et exploité les défauts structurels mathématiques du mécanisme de génération du prix de marque - petites sources de données, agrégation de la médiane, fragmentation de la liquidité, et ont utilisé le mécanisme de liquidation du marché pour opérer.
Le problème fondamental du contrôle du prix de marque est :
La haute corrélation des données des oracles
La tolérance des algorithmes d'agrégation aux valeurs aberrantes
Le problème de la "confiance aveugle" dans le système de liquidation
Le prix de marque ne devrait pas être une valeur "mathématiquement correcte mais fragile en termes de jeu", mais plutôt le produit d'un mécanisme capable de maintenir la stabilité sous la pression du marché réel. L'idéal de la DeFi est de construire la confiance par le code, mais le code n'est pas parfait, il peut également cristalliser des préjugés, amplifier des défauts préétablis, et même devenir une arme entre les mains des attaquants.
L'événement Jelly-My-Jelly n'est pas un hasard et ne sera pas le dernier. C'est un avertissement : sans une compréhension approfondie de la structure du jeu, tout mécanisme de liquidation basé sur la "détermination" est une entrée potentielle pour l'arbitrage. La maturation du mécanisme nécessite non seulement une vitesse de correspondance plus rapide et une efficacité du capital plus élevée, mais aussi une capacité d'introspection au niveau de la conception du mécanisme, capable d'identifier et de colmater ces risques systémiques masqués par la "beauté mathématique".
Puissions-nous toujours garder un cœur plein de respect pour le marché.
Les mathématiques sont simples, les gens sont complexes. Seule l'histoire des jeux se répète. Savoir que c'est ainsi, et savoir pourquoi c'est ainsi.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
5 J'aime
Récompense
5
4
Reposter
Partager
Commentaire
0/400
MetaMaskVictim
· 08-09 14:07
Cut Loss 200U vient de Rug Pull, heureusement
Voir l'originalRépondre0
RamenDeFiSurvivor
· 08-09 14:07
Jouer sur le marché perp depuis si longtemps, je ne m'attendais vraiment pas à ce que jelly fasse ça.
Voir l'originalRépondre0
0xSunnyDay
· 08-09 14:06
Encore une fois le même vieux piège à pigeons~
Voir l'originalRépondre0
MemeKingNFT
· 08-09 14:06
Disons-le, comment se fait-il qu'il y ait toujours des pigeons qui ne réalisent pas que le marché est impitoyable, avec des vagues de hausses et de baisses habituelles.
Dévoiler l'incident Jelly-My-Jelly : le dilemme du prix de marque sur le marché des Futures Perpétuel et le risque systémique.
Quand le prix de marque devient une arme : analyse des risques systémiques sur le marché des Futures Perpétuel
En mars 2025, un jeton peu connu, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur Hyperliquid. L'attaquant a exploité la logique de calcul, les processus algorithmiques et les mécanismes de contrôle des risques publics de la plateforme pour orchestrer une "attaque sans code" d'une puissance dévastatrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de "boussole neutre et sécurisée" sur le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins, tant sur le plan théorique que pratique, et effectuera un examen détaillé de l'incident de l'attaque Jelly-My-Jelly. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants (HLP Vault), mais a également exposé l'asymétrie intrinsèque de la protection des fonds des utilisateurs par la logique de liquidation actuelle en cas de conditions de marché extrêmes.
Première partie : Le paradoxe central des Futures Perpétuels - L'inclinaison du mécanisme de liquidation due à un faux sentiment de sécurité
1.1 prix de marque : une tendance de liquidation résultant d'un jeu de consensus perçu comme sûr
Le principe fondamental du prix de marque repose sur un mécanisme de médiane à trois valeurs construit autour du "prix indiciel". Le prix indiciel est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de marché au comptant de premier plan, visant à fournir un prix de référence équitable à l'échelle inter-plateformes et inter-régionales.
La méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
L'introduction de la médiane vise à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur l'hypothèse que la quantité de sources de données entrantes est suffisante, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière coordonnée.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque via une formule. Cette attaque peut déclencher des liquidations massives à effet de levier à un coût minimal, provoquant un effet domino.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché fluctue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé. Le critère de déclenchement le plus important est le prix de marque, et non le dernier prix de transaction de la plateforme.
Il est d'autant plus important de faire attention au mécanisme de "liquidation forcée" (ou liquidation anticipée). De nombreuses bourses, pour éviter le risque de sous-couverture, adoptent souvent des paramètres de liquidation plutôt conservateurs dans leur système de gestion des risques. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix à partir duquel les pertes réelles atteignent zéro, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
1.3 L'échec du prix de marque entraîne une distorsion du moteur de liquidation
La théorie du prix de marque propose une référence de prix équitable et résistante à la manipulation en agrégeant des données multi-sources et un algorithme de médiane. Cependant, cette théorie peut s'appliquer aux actifs majeurs avec une liquidité abondante, mais face aux altcoins à faible liquidité et aux lieux de trading concentrés, son efficacité sera confrontée à de sérieux défis.
Pour la grande majorité des altcoins, la profondeur de leur marché et le nombre d'échanges où ils sont listés sont très limités, ce qui les rend facilement sujets au piège des "petits ensembles de données" en ce qui concerne leur indice de prix. Par conséquent, le sentiment de sécurité apporté par le "indice multi-sources" proclamé par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Dans de nombreux cas, le dernier prix de transaction est souvent équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles : quand la liquidité au comptant s'épuise et devient une arme
2.1 Oracles : un pont fragile reliant on-chain et off-chain
Un oracle de prix est un système intermédiaire responsable de la transmission sécurisée et fiable des données hors chaîne vers la chaîne, fournissant des entrées d'informations du "monde réel" pour le fonctionnement des contrats intelligents. Cependant, un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux.
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque de Mango Markets en octobre 2022 est qualifiée de "modèle". L'attaquant a profité de l'extrême épuisement de la liquidité de MNGO en investissant environ 4 millions de dollars sur plusieurs échanges, réussissant à faire grimper le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été intégralement enregistré par l'oracle et transmis au protocole sur la chaîne, entraînant une explosion de la capacité d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme.
Analyse détaillée des chemins d'attaque :
Troisième partie : Terrain de chasse - Analyse des risques structurels de Hyperliquid
3.1 HLP Trésorerie : Market makers et contreparties de liquidation démocratisés
Le coffre-fort HLP de Hyperliquid est un pool de fonds géré de manière unifiée par le protocole, ayant une double fonction. Il sert à la fois d'agent de marché actif pour la plateforme et de "couverture pour les liquidations" de la plateforme. Ce design attire non seulement les spéculateurs, mais aussi des entités plus dangereuses : les attaquants cherchant à manipuler le marché de manière délibérée.
3.2 Les défauts structurels du mécanisme de liquidation
L'incident Jelly-My-Jelly a révélé une vulnérabilité mortelle de Hyperliquid dans des conditions de marché extrêmes, qui trouve son origine dans la structure de financement et le modèle de liquidation de la trésorerie HLP. Il n'y a pas de mécanisme d'isolation strict entre le pool de réserve de liquidation et d'autres pools de fonds exécutant des stratégies de market making, ils partagent les mêmes garanties.
Lorsque le pool de réserve de liquidation a déjà subi des pertes importantes, il peut faire appel aux actifs de garantie des autres pools stratégiques dans l'ensemble du coffre-fort HLP. Le système détermine que la "santé globale" de l'ensemble du coffre-fort HLP reste bonne, ce qui n'active pas le mécanisme de gestion des risques. Ce design de mécanisme de garantie partagé contourne accidentellement la ligne de défense contre le risque systémique de l'ADL.
Quatrième partie : Analyse de cas - Revue complète de l'attaque Jelly-My-Jelly
4.1 Phase 1 : Disposition - Piège à short d'une valeur de 4 millions de dollars
Le 26 mars, alors que le prix au comptant de JELLY oscillait autour de 0,0095 $, l'attaquant a commencé à mettre en œuvre la première phase. L'attaquant a construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des contrats à terme perpétuels de JELLY par le biais de transactions auto-exécutées, accompagnée d'une position longue de contrepartie totalisant 3 millions de dollars.
4.2 Étape deux : Raid - Blitzkrieg sur le marché au comptant
Les attaquants ont lancé une offensive d'achat simultanée sur plusieurs échanges centralisés et décentralisés. Le prix au comptant de JELLY a rapidement été propulsé en peu de temps, passant de 0,008 $ à une hausse de plus de 500 % en moins d'une heure, atteignant un pic à 0,0517 $.
4.3 Phase trois : déclenchement - pollution des oracles et cascade de liquidation
La forte hausse des prix au comptant se propage rapidement au système de prix de marque de Hyperliquid. L'augmentation soudaine du prix de marque a directement déclenché les positions de vente à découvert que les attaquants avaient précédemment déployées. Étant donné que le trésor HLP agit en tant que contrepartie de liquidation de la plateforme, il reprend sans condition selon la logique du contrat intelligent, et l'ensemble des positions à haut risque se dirige directement vers HLP.
4.4 Étape quatre : Répliques - Retrait d'urgence et réflexion sur le marché
Face à la pression énorme du marché et de la communauté, les nœuds validateurs de Hyperliquid ont voté en urgence, adoptant plusieurs mesures de réponse : retirer immédiatement et définitivement le contrat à terme JELLY ; financer par la fondation, une compensation intégrale pour tous les utilisateurs affectés dont les adresses ne sont pas attaquantes.
Conclusion - L'"illusion de marque" des Futures Perpétuel et la proposition de défense
Les attaquants de l'événement Jelly-My-Jelly n'ont pas dépendu de vulnérabilités complexes des contrats ou de méthodes cryptographiques, ils ont simplement décelé et exploité les défauts structurels mathématiques du mécanisme de génération du prix de marque - petites sources de données, agrégation de la médiane, fragmentation de la liquidité, et ont utilisé le mécanisme de liquidation du marché pour opérer.
Le problème fondamental du contrôle du prix de marque est :
Le prix de marque ne devrait pas être une valeur "mathématiquement correcte mais fragile en termes de jeu", mais plutôt le produit d'un mécanisme capable de maintenir la stabilité sous la pression du marché réel. L'idéal de la DeFi est de construire la confiance par le code, mais le code n'est pas parfait, il peut également cristalliser des préjugés, amplifier des défauts préétablis, et même devenir une arme entre les mains des attaquants.
L'événement Jelly-My-Jelly n'est pas un hasard et ne sera pas le dernier. C'est un avertissement : sans une compréhension approfondie de la structure du jeu, tout mécanisme de liquidation basé sur la "détermination" est une entrée potentielle pour l'arbitrage. La maturation du mécanisme nécessite non seulement une vitesse de correspondance plus rapide et une efficacité du capital plus élevée, mais aussi une capacité d'introspection au niveau de la conception du mécanisme, capable d'identifier et de colmater ces risques systémiques masqués par la "beauté mathématique".
Puissions-nous toujours garder un cœur plein de respect pour le marché.
Les mathématiques sont simples, les gens sont complexes. Seule l'histoire des jeux se répète. Savoir que c'est ainsi, et savoir pourquoi c'est ainsi.