Quand les messagers loyaux se transforment en armes : prix de marque déclenche la tempête de liquidation de Hyperliquid
En mars 2025, un jeton peu connu, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une certaine plateforme d'échange. Ce qui est choquant, c'est que l'attaquant n'a ni modifié le contrat intelligent, ni exploité de vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité le plus essentiel de la plateforme - le prix de marque - en une arme.
Ce n'est pas une attaque de hackers, mais une "attaque de conformité" contre les règles du système. Les attaquants ont exploité la logique de calcul, les processus algorithmiques et les mécanismes de contrôle des risques publiés par la plateforme, créant une "attaque sans code" qui s'est révélée extrêmement destructrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de "ancre neutre et sécurisée" pour le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats perpétuels pour les altcoins, tant sur le plan théorique que pratique, et proposera une rétrospective détaillée de l'incident Jelly-My-Jelly. Cet événement a non seulement révélé la fragilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidités innovants, mais a également exposé l'asymétrie intrinsèque de la protection des fonds des utilisateurs par rapport à la logique de liquidation actuelle en cas de conditions de marché extrêmes.
Le paradoxe central des contrats perpétuels : le biais du mécanisme de liquidation dû à un faux sentiment de sécurité
prix de marque: une tendance de liquidation apportée par un jeu de consensus mal compris comme sûr
Pour comprendre comment le prix de marque devient un point d'entrée d'attaque, il est d'abord nécessaire de décomposer sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une bourse à l'autre, leur principe fondamental est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix index".
Le prix indiciel est la pierre angulaire du prix de marque. Il ne provient pas de l'échange de dérivés lui-même, mais est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot majeures, dans le but de fournir un prix de référence équitable et transversal aux plateformes et régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Price1 = prix de marque × (1 + écart de taux de financement ) : ancrer le prix du contrat au prix de l'indice tout en tenant compte des attentes du marché.
Price2 = prix de marque + écart de moyenne mobile : utilisé pour lisser les anomalies de prix à court terme.
Last Traded Price = prix de marque sur la plateforme des produits dérivés.
L'introduction de la médiane a pour but d'éliminer les valeurs aberrantes et d'améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur une hypothèse clé : la quantité de sources de données utilisées est suffisante, leur distribution est raisonnable, leur liquidité est forte et elles sont difficiles à manipuler en synergie.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes dans le prix de marque par le biais d'une formule légitime. Cette attaque peut provoquer des liquidations à effet de levier à grande échelle avec un coût minimal, entraînant une réaction en chaîne.
En d'autres termes, le mécanisme d'agrégation vise à disperser les risques, mais dans un marché où la liquidité est rare, il crée en fait une "faiblesse centralisée" que les attaquants peuvent contrôler. Plus les plateformes de dérivés soulignent la transparence et la prévisibilité de leurs règles, plus les attaquants peuvent "exploiter les règles de manière programmatique" et construire un chemin de destruction conforme.
Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché fluctue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus important est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce prix de marque "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est encore plus préoccupant d'avoir un mécanisme de "liquidation forcée".
Dans de nombreuses bourses, afin d'éviter le risque de liquidation, les systèmes de gestion des risques adoptent souvent des paramètres de liquidation plutôt conservateurs. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est supérieur au prix réel de perte ramené à zéro, la plateforme ne restitue généralement pas cette partie de "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion qu'"il y a encore des marges, mais qu'ils sont liquidés prématurément", le compte étant directement réduit à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour se couvrir contre leurs propres risques, les plateformes ajustent leur ligne de liquidation de manière plus conservatrice, ce qui rend plus facile la "liquidation anticipée" des positions lors de fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage des intérêts entre la plateforme et les traders en cas de conditions extrêmes.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la profitabilité de la plateforme.
La défaillance du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance à détester les pertes sur cette plateforme, la volatilité extrême des prix d'indice et des prix de marque aggrave davantage le déplacement de cette ligne de liquidation forcée après (.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut être valide lorsqu'elle est appliquée à des actifs grand public avec une liquidité abondante, mais son efficacité sera mise à l'épreuve face à des altcoins avec une liquidité faible et des marchés concentrés.
Échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans de grands ensembles de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et très liquides. Si l'une de ces sources de données présente une cotation extrême pour une raison quelconque, l'algorithme de la médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur médiane comme prix final, ce qui permet de maintenir la stabilité de l'indice.
Vulnérabilités dans un petit ensemble de données : maintenant, nous considérons un scénario typique de crypto-monnaie.
Scénario des trois sources de données : Si l'indice du prix de marque d'une cryptomonnaie ne comprend que les prix au comptant des trois échanges )A, B, C(. Dans ce cas, la médiane est le prix qui se trouve au milieu des trois prix. Si un acteur malveillant manipule simultanément les prix de deux de ces échanges ), par exemple A et B(, alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, la protection offerte par l'algorithme de médiane est presque nulle.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement sa capacité à éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur des transactions et le nombre d'exchanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données" mentionné ci-dessus. Par conséquent, la sensation de sécurité apportée par l'"indice multi-sources" revendiqué par les exchanges n'est souvent qu'une illusion dans le monde des altcoins. Très souvent, le dernier prix de transaction est souvent équivalent au prix de marque.
Dilemme des oracles : lorsque la liquidité sur le marché au comptant s'épuise et devient une arme
La base du prix de marque est le prix indiciel, et la source du prix indiciel est l'oracle. Que ce soit CEX ou DEX, l'oracle joue le rôle de pont pour le transfert d'informations entre la chaîne et l'extérieur. Cependant, ce pont, bien que crucial, est extrêmement fragile lorsque la liquidité fait défaut.
) Oracles : un pont fragile reliant on-chain et off-chain
Les systèmes blockchain sont essentiellement fermés et déterministes, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que les prix de marché des actifs. Les oracles de prix ont vu le jour, ils constituent un système intermédiaire chargé de transmettre des données hors chaîne de manière sécurisée et fiable sur la chaîne, fournissant ainsi des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de leur logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". La responsabilité de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux chemins d'attaque radicalement différents :
Attaque d'oracle : L'attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, provoquant ainsi un rapport de prix erroné.
Manipulation de marché : les attaquants manipulent le marché externe par des actions réelles, tirant délibérément les prix vers le haut ou vers le bas, tandis que l'oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché "manipulé". Le protocole on-chain n'a pas été piraté, mais a réagi de manière inattendue en raison de "l'empoisonnement de l'information".
Le second, c'est l'essence des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu négociés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque d'une plateforme de trading en octobre 2022 peut être qualifiée de "modèle". L'attaquant a profité de l'épuisement extrême de la liquidité de son jeton de gouvernance ###, alors que le volume des transactions quotidiennes était inférieur à 100 000 dollars (, en investissant environ 4 millions de dollars sur plusieurs échanges pour acheter, réussissant à faire monter le prix du jeton de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et transmis au protocole sur la chaîne, ce qui a provoqué une explosion de sa capacité d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme ) d'environ 116 millions de dollars (.
Analyse du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles : les attaquants commencent par filtrer les jetons cibles, qui répondent généralement aux critères suivants : ils ont lancé des contrats perpétuels sur une plateforme de dérivés grand public ; le prix de l'oracle provient de plusieurs échanges au comptant connus et peu liquides ; le volume quotidien des transactions est faible, le carnet de commandes est clairsemé et facilement manipulable.
Levée de fonds : La plupart des attaquants obtiennent des fonds temporaires massifs grâce à des "prêts flash". Ce mécanisme permet d'emprunter et de rembourser des actifs en une seule transaction, sans aucune garantie, réduisant ainsi considérablement le coût de la manipulation.
Marché au comptant éclair : l'attaquant passe un grand nombre d'ordres d'achat en synchronisation sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, poussant le prix vers le haut - s'éloignant de sa valeur réelle.
Pollution des oracle : Les oracles lisent fidèlement les prix provenant des échanges manipulés mentionnés ci-dessus. Même avec des mécanismes anti-volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation simultanée de plusieurs sources. Le prix index final est gravement pollué.
Infection du prix de marque : un prix d'indice contaminé entre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation juge à tort la plage de risque, déclenchant une "liquidation" massive, entraînant de lourdes pertes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par le biais de positions inversées ou d'opérations de prêt.
Le "manuel de combat" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les protocoles CEX ou DEX, on prône souvent la "transparence open source" comme une vertu, en rendant publiques les mécanismes d'oracle, les poids des sources de données, la fréquence de mise à jour des prix, etc., dans le but d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons un exemple d'une plateforme de trading, son architecture d'oracle liste publiquement toutes les sources de données des échanges et leurs poids. Les attaquants peuvent ainsi calculer avec précision combien de fonds investir dans chaque échange où la liquidité est la plus faible, afin de distordre au maximum l'indice pondéré final. Cette "ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
Chasse: Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir un "champ de bataille" approprié - une plateforme d'échange. Bien que la manipulation des oracles soit une méthode d'attaque courante, la raison pour laquelle l'incident "Jelly-My-Jelly" a pu se produire sur cette plateforme et causer de graves conséquences réside dans l'architecture de liquidité et le mécanisme de liquidation uniques à cette plateforme. Ces conceptions, qui visent à améliorer l'expérience utilisateur et l'efficacité du capital, bien qu'innovantes, ont également, de manière inattendue, offert aux attaquants un terrain favorable.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
prix de marque comme arme : analyse des risques systémiques sur le marché des Futures Perpétuel alts
Quand les messagers loyaux se transforment en armes : prix de marque déclenche la tempête de liquidation de Hyperliquid
En mars 2025, un jeton peu connu, JELLY, avec un volume de transactions quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une certaine plateforme d'échange. Ce qui est choquant, c'est que l'attaquant n'a ni modifié le contrat intelligent, ni exploité de vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité le plus essentiel de la plateforme - le prix de marque - en une arme.
Ce n'est pas une attaque de hackers, mais une "attaque de conformité" contre les règles du système. Les attaquants ont exploité la logique de calcul, les processus algorithmiques et les mécanismes de contrôle des risques publiés par la plateforme, créant une "attaque sans code" qui s'est révélée extrêmement destructrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de "ancre neutre et sécurisée" pour le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats perpétuels pour les altcoins, tant sur le plan théorique que pratique, et proposera une rétrospective détaillée de l'incident Jelly-My-Jelly. Cet événement a non seulement révélé la fragilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidités innovants, mais a également exposé l'asymétrie intrinsèque de la protection des fonds des utilisateurs par rapport à la logique de liquidation actuelle en cas de conditions de marché extrêmes.
Le paradoxe central des contrats perpétuels : le biais du mécanisme de liquidation dû à un faux sentiment de sécurité
prix de marque: une tendance de liquidation apportée par un jeu de consensus mal compris comme sûr
Pour comprendre comment le prix de marque devient un point d'entrée d'attaque, il est d'abord nécessaire de décomposer sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une bourse à l'autre, leur principe fondamental est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix index".
Le prix indiciel est la pierre angulaire du prix de marque. Il ne provient pas de l'échange de dérivés lui-même, mais est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot majeures, dans le but de fournir un prix de référence équitable et transversal aux plateformes et régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Price1 = prix de marque × (1 + écart de taux de financement ) : ancrer le prix du contrat au prix de l'indice tout en tenant compte des attentes du marché.
Price2 = prix de marque + écart de moyenne mobile : utilisé pour lisser les anomalies de prix à court terme.
Last Traded Price = prix de marque sur la plateforme des produits dérivés.
L'introduction de la médiane a pour but d'éliminer les valeurs aberrantes et d'améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur une hypothèse clé : la quantité de sources de données utilisées est suffisante, leur distribution est raisonnable, leur liquidité est forte et elles sont difficiles à manipuler en synergie.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes dans le prix de marque par le biais d'une formule légitime. Cette attaque peut provoquer des liquidations à effet de levier à grande échelle avec un coût minimal, entraînant une réaction en chaîne.
En d'autres termes, le mécanisme d'agrégation vise à disperser les risques, mais dans un marché où la liquidité est rare, il crée en fait une "faiblesse centralisée" que les attaquants peuvent contrôler. Plus les plateformes de dérivés soulignent la transparence et la prévisibilité de leurs règles, plus les attaquants peuvent "exploiter les règles de manière programmatique" et construire un chemin de destruction conforme.
Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché fluctue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus important est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce prix de marque "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est encore plus préoccupant d'avoir un mécanisme de "liquidation forcée".
Dans de nombreuses bourses, afin d'éviter le risque de liquidation, les systèmes de gestion des risques adoptent souvent des paramètres de liquidation plutôt conservateurs. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est supérieur au prix réel de perte ramené à zéro, la plateforme ne restitue généralement pas cette partie de "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion qu'"il y a encore des marges, mais qu'ils sont liquidés prématurément", le compte étant directement réduit à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour se couvrir contre leurs propres risques, les plateformes ajustent leur ligne de liquidation de manière plus conservatrice, ce qui rend plus facile la "liquidation anticipée" des positions lors de fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage des intérêts entre la plateforme et les traders en cas de conditions extrêmes.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la profitabilité de la plateforme.
La défaillance du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance à détester les pertes sur cette plateforme, la volatilité extrême des prix d'indice et des prix de marque aggrave davantage le déplacement de cette ligne de liquidation forcée après (.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut être valide lorsqu'elle est appliquée à des actifs grand public avec une liquidité abondante, mais son efficacité sera mise à l'épreuve face à des altcoins avec une liquidité faible et des marchés concentrés.
Échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans de grands ensembles de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et très liquides. Si l'une de ces sources de données présente une cotation extrême pour une raison quelconque, l'algorithme de la médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur médiane comme prix final, ce qui permet de maintenir la stabilité de l'indice.
Vulnérabilités dans un petit ensemble de données : maintenant, nous considérons un scénario typique de crypto-monnaie.
Scénario des trois sources de données : Si l'indice du prix de marque d'une cryptomonnaie ne comprend que les prix au comptant des trois échanges )A, B, C(. Dans ce cas, la médiane est le prix qui se trouve au milieu des trois prix. Si un acteur malveillant manipule simultanément les prix de deux de ces échanges ), par exemple A et B(, alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, la protection offerte par l'algorithme de médiane est presque nulle.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement sa capacité à éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur des transactions et le nombre d'exchanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données" mentionné ci-dessus. Par conséquent, la sensation de sécurité apportée par l'"indice multi-sources" revendiqué par les exchanges n'est souvent qu'une illusion dans le monde des altcoins. Très souvent, le dernier prix de transaction est souvent équivalent au prix de marque.
Dilemme des oracles : lorsque la liquidité sur le marché au comptant s'épuise et devient une arme
La base du prix de marque est le prix indiciel, et la source du prix indiciel est l'oracle. Que ce soit CEX ou DEX, l'oracle joue le rôle de pont pour le transfert d'informations entre la chaîne et l'extérieur. Cependant, ce pont, bien que crucial, est extrêmement fragile lorsque la liquidité fait défaut.
) Oracles : un pont fragile reliant on-chain et off-chain
Les systèmes blockchain sont essentiellement fermés et déterministes, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que les prix de marché des actifs. Les oracles de prix ont vu le jour, ils constituent un système intermédiaire chargé de transmettre des données hors chaîne de manière sécurisée et fiable sur la chaîne, fournissant ainsi des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de leur logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". La responsabilité de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux chemins d'attaque radicalement différents :
Attaque d'oracle : L'attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, provoquant ainsi un rapport de prix erroné.
Manipulation de marché : les attaquants manipulent le marché externe par des actions réelles, tirant délibérément les prix vers le haut ou vers le bas, tandis que l'oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché "manipulé". Le protocole on-chain n'a pas été piraté, mais a réagi de manière inattendue en raison de "l'empoisonnement de l'information".
Le second, c'est l'essence des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été polluée.
Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu négociés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque d'une plateforme de trading en octobre 2022 peut être qualifiée de "modèle". L'attaquant a profité de l'épuisement extrême de la liquidité de son jeton de gouvernance ###, alors que le volume des transactions quotidiennes était inférieur à 100 000 dollars (, en investissant environ 4 millions de dollars sur plusieurs échanges pour acheter, réussissant à faire monter le prix du jeton de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et transmis au protocole sur la chaîne, ce qui a provoqué une explosion de sa capacité d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme ) d'environ 116 millions de dollars (.
Analyse du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles : les attaquants commencent par filtrer les jetons cibles, qui répondent généralement aux critères suivants : ils ont lancé des contrats perpétuels sur une plateforme de dérivés grand public ; le prix de l'oracle provient de plusieurs échanges au comptant connus et peu liquides ; le volume quotidien des transactions est faible, le carnet de commandes est clairsemé et facilement manipulable.
Levée de fonds : La plupart des attaquants obtiennent des fonds temporaires massifs grâce à des "prêts flash". Ce mécanisme permet d'emprunter et de rembourser des actifs en une seule transaction, sans aucune garantie, réduisant ainsi considérablement le coût de la manipulation.
Marché au comptant éclair : l'attaquant passe un grand nombre d'ordres d'achat en synchronisation sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, poussant le prix vers le haut - s'éloignant de sa valeur réelle.
Pollution des oracle : Les oracles lisent fidèlement les prix provenant des échanges manipulés mentionnés ci-dessus. Même avec des mécanismes anti-volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation simultanée de plusieurs sources. Le prix index final est gravement pollué.
Infection du prix de marque : un prix d'indice contaminé entre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation juge à tort la plage de risque, déclenchant une "liquidation" massive, entraînant de lourdes pertes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par le biais de positions inversées ou d'opérations de prêt.
Le "manuel de combat" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les protocoles CEX ou DEX, on prône souvent la "transparence open source" comme une vertu, en rendant publiques les mécanismes d'oracle, les poids des sources de données, la fréquence de mise à jour des prix, etc., dans le but d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons un exemple d'une plateforme de trading, son architecture d'oracle liste publiquement toutes les sources de données des échanges et leurs poids. Les attaquants peuvent ainsi calculer avec précision combien de fonds investir dans chaque échange où la liquidité est la plus faible, afin de distordre au maximum l'indice pondéré final. Cette "ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
![])https://img-cdn.gateio.im/webp-social/moments-d2d38f5e229eee96ccd07700caa11b05.webp(
Chasse: Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir un "champ de bataille" approprié - une plateforme d'échange. Bien que la manipulation des oracles soit une méthode d'attaque courante, la raison pour laquelle l'incident "Jelly-My-Jelly" a pu se produire sur cette plateforme et causer de graves conséquences réside dans l'architecture de liquidité et le mécanisme de liquidation uniques à cette plateforme. Ces conceptions, qui visent à améliorer l'expérience utilisateur et l'efficacité du capital, bien qu'innovantes, ont également, de manière inattendue, offert aux attaquants un terrain favorable.