当标记价格成为武器：解析永续合约市场的系统性风险

2025年3月，一个日交易额不足200万美元的冷门代币JELLY在Hyperliquid上引发了一场千万美元级别的清算风暴。攻击者利用平台公开的计算逻辑、算法流程与风险控制机制，制造了一场对市场和交易者都极具杀伤力的"无代码攻击"。本应作为市场"中立与安全"之锚的标记价格，在这一事件中从护盾变成了利刃。

本文将从理论与实战两个层面，深入分析山寨币永续合约市场中标记价格机制的系统性风险，并对Jelly-My-Jelly攻击事件进行详尽复盘。该事件不仅揭示了预言机设计的结构性脆弱、创新型流动性池（HLP Vault）的双刃剑属性，更暴露了当前主流清算逻辑在极端行情下对用户资金保护的内在不对称性。

第一部分：永续合约的核心悖论 - 虚假安全感带来的清算机制倾斜

1.1 标记价格：一场误以为安全的共识游戏带来的清算倾向性

标记价格的核心原则是围绕"指数价格"构建的三值中位机制。指数价格通过加权平均多个主流现货平台上该资产的价格计算得出，意在提供一个跨平台、跨地域的公允参考价。

典型的标记价格计算方式如下：

Mark Price = Median (Price1, Price2, Last Traded Price)

• Price1 = 指数价格 × (1 + 资金费率基差)
• Price2 = 指数价格 + 移动平均基差
• Last Traded Price = 衍生品平台上的最新成交价

中位数的引入本意是剔除异常值、提升价格稳定性。但这一设计的安全性完全建立在输入的数据源数量充足、分布合理、流动性强且难以被协同操纵的假设之上。

然而，在现实中，绝大多数山寨币的现货市场极其薄弱。一旦攻击者能够控制几个低流动性平台的价格，即可"污染"指数价格，从而将恶意数据通过公式合法地注入标记价格。这种攻击能以最小的成本撬动大规模的杠杆清算，引发连锁反应。

1.2 清算引擎：平台的盾，也是刃

当市场价格朝不利方向快速变动时，交易者的保证金将被浮亏侵蚀。一旦剩余保证金跌破"维持保证金率"，清算引擎将启动。最核心的触发标准是标记价格，而非平台自身的最新成交价。

更值得警惕的是"强制平仓"（或者说提前清算）机制。许多交易所为避免穿仓风险，风控系统往往采用偏保守的清算参数。当触发强平后，即便平仓价格优于实际亏损归零的价格，平台也通常不会返还这部分"强平盈余"，而是会将其直接注入平台的保险基金。

清算引擎本应是中性的风险控制工具，但在收益归属、参数选择、触发逻辑上，却具备了平台利润化的倾向。

1.3 标记价格的失效导致清算引擎的失真

标记价格的理论通过聚合多源数据和中位数算法来提供一个公平、抗操纵的价格基准。然而，这一理论在应用于流动性充裕的主流资产时或许成立，但在面对流动性稀薄、交易场所集中的山寨币时，其有效性将面临严峻挑战。

对于绝大多数山寨币而言，其交易深度和上市交易所数量都非常有限，这使得它们的价格指数极易落入"小数据集"的陷阱。因此，交易所声称的"多源指数"所带来的安全感，在山寨币的世界里往往只是一种幻觉。很多时候，最新成交价往往与标记价格划上等号。

第二部分：预言机困境：当现货流动性枯竭成为武器

2.1 预言机：连接链上与链下的脆弱桥梁

价格预言机是一个中间件系统，负责将链下数据安全、可信地传输至链上，为智能合约的运作提供"现实世界"的信息输入。然而，一个"诚实"的预言机，并不意味着它报告的是"合理"的价格。预言机的职责仅是如实记录其所能观察到的外部世界状态，它不判断价格是否偏离基本面。

2.2 攻击的支点：当流动性缺陷成为武器

这类攻击的核心在于利用目标资产在现货市场上的流动性劣势。对于交易稀薄的资产，即便是小额订单也可能引起价格剧烈波动，从而为操纵者提供可乘之机。

2022年10月对Mango Markets的攻击堪称"典范"。攻击者利用MNGO的极度流动性枯竭，通过在多个交易所集中投入约400万美元买入，成功将MNGO价格在极短时间内拉升超过2300%。这一"异常价格"被预言机完整记录并喂送给链上协议，致使其借款额度暴涨，最终"合法地"将平台全部资产掏空。

攻击路径详解：

1. 目标选择
2. 资本筹集
3. 现货市场闪击
4. 预言机污染
5. 标记价格感染

第三部分：猎杀场 - Hyperliquid 的结构性风险剖析

3.1 HLP 金库：民主化的做市商与清算对手盘

Hyperliquid的HLP金库是一个由协议统一管理、肩负双重职能的资金池。它既充当平台的主动做市商，又承担平台的"清算止损后盾"。这种设计不仅吸引了投机者，也吸引了更危险的存在：蓄意操纵市场的攻击者。

3.2 清算机制的结构性缺陷

Jelly-My-Jelly事件暴露了Hyperliquid在极端市场条件下的一个致命漏洞，其根源是HLP金库内部的资金架构和清算模式。清算储备池与其他执行做市等策略的资金池之间并无严格的隔离机制，它们共享同一笔抵押品。

当清算储备池自身已经陷入深度亏损时，由于它可以调用整个HLP金库中其他策略池的抵押资产，系统判定整个HLP金库"整体健康度"依然良好，因而没有触发风控机制。这种共享抵押机制的设计，意外绕过了ADL这一系统性风险防线。

第四部分：案例分析 - Jelly-My-Jelly 攻击的完整复盘

4.1 阶段一：布局 - 价值400万美元的空头陷阱

3月26日，JELLY的现货价格在0.0095美元附近震荡时，攻击者开始实施第一阶段。攻击者通过自我交易方式，在JELLY的永续合约市场上构建了一个价值约400万美元的空头头寸，并辅以总计300万美元的多头对敲仓位。

4.2 阶段二：突袭 - 现货市场的闪电战

攻击者在多个中心化和去中心化交易所同步发起买入攻势。JELLY现货价格在短时间内被迅速拉升，从0.008美元起涨，不到一小时价格飙升超500%，触及0.0517美元的峰值。

4.3 阶段三：引爆 - 预言机污染与清算瀑布

现货价格的剧烈拉升迅速传导至Hyperliquid的标记价格系统。标记价格的跳涨直接引爆了攻击者先前部署的空头仓位。由于HLP金库作为平台的清算对手方，根据智能合约逻辑无条件接盘，整个高风险仓位直接压向HLP。

4.4 阶段四：余波 - 紧急下架与市场反思

面对来自市场和社区的巨大压力，Hyperliquid验证者节点紧急投票，通过多项应对措施：立即并永久下架JELLY永续合约；由基金会出资，对所有非攻击地址的受影响用户进行全额补偿。

结束语 - 永续合约的"标记幻象"与防御命题

Jelly-My-Jelly事件中的攻击者并未依赖复杂的合约漏洞或加密学手段，他们只是识破并利用了标记价格生成机制的数学结构性缺陷 - 小数据源、中位数聚合、流动性碎片化，并且集合市场的清算机制来运作。

标记价格操控的根本问题在于：

• 预言机数据的高度相关性
• 聚合算法对异常值的容忍性
• 清算系统的"盲信"问题

标记价格不应该是一个"数学上正确但博弈上脆弱"的值，而应是一个能在真实市场压力下维持稳定性的机制产物。DeFi的理想在于用代码构建信任，但代码并非完美，它也会固化偏见、放大预设缺陷，甚至成为攻击者手中的武器。

Jelly-My-Jelly事件并非偶然，也不会是最后一次。它是一个警告：在没有深入理解博弈结构之前，任何基于"确定性"的清算机制，都是潜在的套利入口。机制走向成熟，需要的不仅是更快的撮合速度和更高的资本效率，更需要一种机制设计层面的自省能力，能识别并堵住这些被"数学美感"掩盖的系统性风险。

愿我们始终保持着一颗敬畏市场之心。

数学是单纯的，人是复杂的。只有历史博弈是重复的。知其然，且知其所以然。