Quando o preço de marca se torna uma arma: Análise da tempestade de liquidações em cadeia da Hyperliquid
Em março de 2025, uma tempestade de liquidação que chocou o mercado de criptomoedas varreu a plataforma Hyperliquid. Um token de nicho com um volume de negociação diário de menos de 2 milhões de dólares, o JELLY, provocou uma reação em cadeia de dezenas de milhões de dólares. A singularidade deste evento reside no fato de que o atacante não explorou vulnerabilidades de código tradicionais, mas transformou o mecanismo de segurança central da plataforma — preço de marca — em uma arma de ataque precisa.
Isto não foi uma invasão por hackers, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram habilmente a lógica de cálculo, os processos algorítmicos e os mecanismos de gestão de risco que a plataforma torna públicos, criando um devastador "ataque sem código". O preço de marca, que deveria ser a base de "neutralidade e segurança" do mercado, transformou-se, neste evento, de um escudo em uma lâmina.
A contradição central dos contratos perpétuos: desvio do mecanismo de liquidação causado por uma falsa sensação de segurança
preço de marca:erro de considerar um jogo de consenso seguro
Para entender como o preço de marca se torna um ponto de ataque, é necessário primeiro analisar a lógica de sua composição. Embora a forma de cálculo varie ligeiramente entre as exchanges, o princípio central é altamente consistente - um mecanismo de mediana de três valores construído em torno do "preço índice".
O preço índice é a pedra angular do preço de marca, geralmente calculado a partir da média ponderada dos preços de várias plataformas de spot de referência. Uma forma típica de cálculo do preço de marca é a seguinte:
preço de marca = mediana ( preço 1, preço 2, preço de transação mais recente )
preço 1 = preço de índice × (1 + taxa de financiamento base )
preço 2 = preço de índice + diferença média móvel
Último preço de marca = Último preço de marca na plataforma de derivativos
A introdução da mediana foi originalmente concebida para eliminar valores atípicos e melhorar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma suposição chave: que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e difícil de manipular em conjunto.
No entanto, na realidade, o mercado à vista da grande maioria das altcoins é extremamente fraco. Uma vez que um atacante consegue manipular o preço de algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através da fórmula para o preço de marca. Este tipo de ataque pode provocar liquidações em grande escala a um custo mínimo, desencadeando uma reação em cadeia.
motor de liquidação: a espada de dois gumes da plataforma
O motor de liquidação é o componente central de controle de risco da plataforma de negociação. Quando o preço do mercado se move rapidamente em uma direção desfavorável, a margem do trader será corroída por perdas não realizadas. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o motor de liquidação será acionado.
Vale a pena notar que o critério central que aciona a liquidação é o preço de marca, e não o último preço de negociação da própria plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido a linha de liquidação, assim que aquele preço de marca "invisível" atingir o limite, a liquidação será imediatamente acionada.
Mais preocupante é o mecanismo de "liquidação forçada". Muitas exchanges, para evitar o risco de liquidação, costumam adotar parâmetros de liquidação mais conservadores. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja superior ao preço real que resultaria em perdas zero, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas sim injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a terem a impressão de que "ainda há margem, mas foram liquidadas antecipadamente", resultando em uma conta que vai a zero.
Dilema do Oráculo: Quando a Liquidez do Spot se Torna uma Arma
O preço de marca é fundamentado no preço índice, e a origem do preço índice vem do oráculo. Quer se trate de uma bolsa centralizada ou descentralizada, o oráculo desempenha um papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora essa ponte seja crucial, ela é excepcionalmente frágil em momentos de falta de liquidez.
Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não podem acessar dados fora da cadeia de forma proativa. Os oráculos de preço surgem como um sistema de middleware, responsável por transmitir dados fora da cadeia de forma segura e confiável para dentro da cadeia, fornecendo informações do "mundo real" para o funcionamento dos contratos inteligentes.
No entanto, um fato frequentemente negligenciado é que um oráculo "honesto" não significa que ele reporte um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que consegue observar, não cabe a ele julgar se o preço se desvia dos fundamentos. Esta característica revela duas categorias de caminhos de ataque completamente distintos:
Ataque de oráculo: O atacante altera a fonte de dados ou o protocolo do oráculo por meios técnicos, fazendo com que reporte preços incorretos.
Manipulação de mercado: atacantes operam efetivamente no mercado externo, deliberadamente inflacionando ou deprimindo preços, enquanto oráculos funcionando normalmente registram e reportam o "preço de marca" deste mercado "manipulado".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi poluída.
ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque está em explorar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca negociação, mesmo ordens de pequeno montante podem causar flutuações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
O caminho de ataque geralmente inclui os seguintes passos:
Seleção de alvos: Filtrar tokens-alvo que atendem aos critérios.
Angariação de capital: obter grandes quantias de fundos temporários através de empréstimos relâmpago e outros meios.
Flash no mercado à vista: emitir uma grande quantidade de ordens de compra simultaneamente em várias exchanges em um curto período de tempo.
Poluição de oráculos: os oráculos leem os preços de exchanges manipuladas, resultando em um índice de preço poluído.
preço de marca infectado: o índice de preços contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca, desencadeando uma liquidação em massa.
Análise dos riscos estruturais da Hyperliquid
A arquitetura de liquidez e o mecanismo de liquidação únicos da plataforma Hyperliquid oferecem aos atacantes um "campo de caça" ideal.
HLP Cofragem: Market Makers e Contrapartidas de Liquidação Democratizados
Uma das inovações centrais da Hyperliquid é o seu cofre HLP — um fundo gerido de forma unificada pelo protocolo, que desempenha uma dupla função. O HLP atua como o formador de mercado ativo da plataforma, ao mesmo tempo em que serve como o "suporte de liquidação e stop loss" da plataforma.
Este design permite que até mesmo tokens com menor capitalização de mercado e liquidez extremamente baixa, como o JELLY, suportem posições alavancadas na faixa de milhões de dólares na Hyperliquid. No entanto, esse mecanismo também transforma o HLP em uma entidade de absorção que pode ser explorada de forma determinística, sem capacidade de julgamento próprio.
defeitos estruturais do mecanismo de liquidação
O evento Jelly-My-Jelly expôs uma falha fatal na Hyperliquid sob condições de mercado extremas. Quando a posição de venda a descoberto de 4 milhões de dólares do atacante foi liquidada devido à disparada do preço de marca, a posição foi completamente transferida para o fundo de liquidação.
Devido ao fato de o fundo de reserva de liquidação poder chamar os ativos de garantia de outros fundos de estratégia no cofre HLP, o sistema determina que a "saúde geral" do cofre HLP continua boa, e portanto não aciona os mecanismos de controle de risco. Este design de mecanismo de garantia compartilhada contorna inesperadamente a linha de defesa contra riscos sistêmicos de redução automática de posições (ADL), fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo acabem concentradas e explodam dentro do cofre HLP.
Análise Completa do Ataque Jelly-My-Jelly
No dia 26 de março de 2025, um ataque meticulosamente planejado ocorreu na Hyperliquid, com o alvo diretamente direcionado ao Jelly-My-Jelly (JELLY).
Fase um: Layout
Os atacantes realizaram testes de estratégia durante até dez dias antes do incidente. No dia 26 de março, quando o preço do JELLY estava oscilando em torno de 0,0095 dólares, os atacantes começaram a implementar a primeira fase. Através de transações consigo mesmos, foi construída uma posição vendida no mercado de contratos perpétuos do JELLY, no valor de cerca de 4 milhões de dólares, acompanhada de um total de 3 milhões de dólares em posições compradas de arbitragem.
Fase Dois: Ataque
O ataque entrou na segunda fase: aumento rápido do preço à vista. A capitalização de mercado da JELLY é apenas cerca de 1,5 milhões de dólares, e o livro de ordens é extremamente fraco. Os atacantes iniciaram uma ofensiva de compras em várias bolsas simultaneamente, fazendo com que o preço à vista da JELLY aumentasse rapidamente mais de 500% em um curto espaço de tempo, atingindo o pico de 0,0517 dólares.
Fase três: Explosão
A rápida elevação dos preços à vista foi rapidamente transmitida para o sistema de preços de marca da Hyperliquid. O salto repentino no preço de marca acionou diretamente as posições vendidas previamente implantadas pelos atacantes, desencadeando a liquidação forçada. Como o tesouro HLP assumiu incondicionalmente a liquidação, toda a posição de alto risco foi diretamente empurrada para o HLP.
Fase Quatro: Ondas Remanescentes
Diante da enorme pressão, os nós validadores da Hyperliquid votaram urgentemente, aprovando várias medidas de resposta: remoção imediata e permanente do contrato perpétuo JELLY; a fundação financiará a compensação total para todos os usuários afetados que não são endereços de ataque.
Conclusão
O evento Jelly-My-Jelly revelou a falha estrutural matemática no mecanismo de geração de preço de marca. O atacante aproveitou a alta correlação dos dados do oráculo, a tolerância do algoritmo de agregação a valores discrepantes e o problema da "crença cega" do sistema de liquidação para implementar com sucesso este ataque.
Este evento nos alerta: antes de entender profundamente a estrutura do jogo, qualquer mecanismo de liquidação baseado em "determinismo" é uma entrada potencial para arbitragem. As plataformas DeFi precisam estabelecer, no nível do design do mecanismo, a capacidade de auto-reflexão, para identificar e bloquear esses riscos sistêmicos encobertos pela "beleza matemática".
Somente mantendo um respeito pelo mercado e compreendendo profundamente o jogo complexo entre matemática e humanidade, poderemos construir uma infraestrutura financeira mais segura e confiável.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
6
Repostar
Compartilhar
Comentário
0/400
MetaverseHermit
· 08-18 14:02
Boa rapaz, a conformidade também pode causar grandes problemas.
Ver originalResponder0
quietly_staking
· 08-18 00:26
jelly agora se transformou em faca, tudo o que precisava ser limpo não escapou.
Ver originalResponder0
RektRecovery
· 08-15 14:33
chamei isso há meses... outro protocolo "seguro" vai por água abaixo smh
Ver originalResponder0
ImpermanentSage
· 08-15 14:30
Esta geração de idiotas já consegue fazer acontecer.
Ver originalResponder0
GateUser-ccc36bc5
· 08-15 14:20
Brincar tanto assim, não são poucos os que morrem com isso.
Tempestade de preço de marca Hyperliquid: análise do evento de liquidação em cadeia de 400 milhões de dólares JELLY
Quando o preço de marca se torna uma arma: Análise da tempestade de liquidações em cadeia da Hyperliquid
Em março de 2025, uma tempestade de liquidação que chocou o mercado de criptomoedas varreu a plataforma Hyperliquid. Um token de nicho com um volume de negociação diário de menos de 2 milhões de dólares, o JELLY, provocou uma reação em cadeia de dezenas de milhões de dólares. A singularidade deste evento reside no fato de que o atacante não explorou vulnerabilidades de código tradicionais, mas transformou o mecanismo de segurança central da plataforma — preço de marca — em uma arma de ataque precisa.
Isto não foi uma invasão por hackers, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram habilmente a lógica de cálculo, os processos algorítmicos e os mecanismos de gestão de risco que a plataforma torna públicos, criando um devastador "ataque sem código". O preço de marca, que deveria ser a base de "neutralidade e segurança" do mercado, transformou-se, neste evento, de um escudo em uma lâmina.
A contradição central dos contratos perpétuos: desvio do mecanismo de liquidação causado por uma falsa sensação de segurança
preço de marca:erro de considerar um jogo de consenso seguro
Para entender como o preço de marca se torna um ponto de ataque, é necessário primeiro analisar a lógica de sua composição. Embora a forma de cálculo varie ligeiramente entre as exchanges, o princípio central é altamente consistente - um mecanismo de mediana de três valores construído em torno do "preço índice".
O preço índice é a pedra angular do preço de marca, geralmente calculado a partir da média ponderada dos preços de várias plataformas de spot de referência. Uma forma típica de cálculo do preço de marca é a seguinte:
preço de marca = mediana ( preço 1, preço 2, preço de transação mais recente )
A introdução da mediana foi originalmente concebida para eliminar valores atípicos e melhorar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma suposição chave: que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e difícil de manipular em conjunto.
No entanto, na realidade, o mercado à vista da grande maioria das altcoins é extremamente fraco. Uma vez que um atacante consegue manipular o preço de algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através da fórmula para o preço de marca. Este tipo de ataque pode provocar liquidações em grande escala a um custo mínimo, desencadeando uma reação em cadeia.
motor de liquidação: a espada de dois gumes da plataforma
O motor de liquidação é o componente central de controle de risco da plataforma de negociação. Quando o preço do mercado se move rapidamente em uma direção desfavorável, a margem do trader será corroída por perdas não realizadas. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o motor de liquidação será acionado.
Vale a pena notar que o critério central que aciona a liquidação é o preço de marca, e não o último preço de negociação da própria plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido a linha de liquidação, assim que aquele preço de marca "invisível" atingir o limite, a liquidação será imediatamente acionada.
Mais preocupante é o mecanismo de "liquidação forçada". Muitas exchanges, para evitar o risco de liquidação, costumam adotar parâmetros de liquidação mais conservadores. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja superior ao preço real que resultaria em perdas zero, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas sim injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a terem a impressão de que "ainda há margem, mas foram liquidadas antecipadamente", resultando em uma conta que vai a zero.
Dilema do Oráculo: Quando a Liquidez do Spot se Torna uma Arma
O preço de marca é fundamentado no preço índice, e a origem do preço índice vem do oráculo. Quer se trate de uma bolsa centralizada ou descentralizada, o oráculo desempenha um papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora essa ponte seja crucial, ela é excepcionalmente frágil em momentos de falta de liquidez.
Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não podem acessar dados fora da cadeia de forma proativa. Os oráculos de preço surgem como um sistema de middleware, responsável por transmitir dados fora da cadeia de forma segura e confiável para dentro da cadeia, fornecendo informações do "mundo real" para o funcionamento dos contratos inteligentes.
No entanto, um fato frequentemente negligenciado é que um oráculo "honesto" não significa que ele reporte um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que consegue observar, não cabe a ele julgar se o preço se desvia dos fundamentos. Esta característica revela duas categorias de caminhos de ataque completamente distintos:
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi poluída.
ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque está em explorar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca negociação, mesmo ordens de pequeno montante podem causar flutuações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
O caminho de ataque geralmente inclui os seguintes passos:
Análise dos riscos estruturais da Hyperliquid
A arquitetura de liquidez e o mecanismo de liquidação únicos da plataforma Hyperliquid oferecem aos atacantes um "campo de caça" ideal.
HLP Cofragem: Market Makers e Contrapartidas de Liquidação Democratizados
Uma das inovações centrais da Hyperliquid é o seu cofre HLP — um fundo gerido de forma unificada pelo protocolo, que desempenha uma dupla função. O HLP atua como o formador de mercado ativo da plataforma, ao mesmo tempo em que serve como o "suporte de liquidação e stop loss" da plataforma.
Este design permite que até mesmo tokens com menor capitalização de mercado e liquidez extremamente baixa, como o JELLY, suportem posições alavancadas na faixa de milhões de dólares na Hyperliquid. No entanto, esse mecanismo também transforma o HLP em uma entidade de absorção que pode ser explorada de forma determinística, sem capacidade de julgamento próprio.
defeitos estruturais do mecanismo de liquidação
O evento Jelly-My-Jelly expôs uma falha fatal na Hyperliquid sob condições de mercado extremas. Quando a posição de venda a descoberto de 4 milhões de dólares do atacante foi liquidada devido à disparada do preço de marca, a posição foi completamente transferida para o fundo de liquidação.
Devido ao fato de o fundo de reserva de liquidação poder chamar os ativos de garantia de outros fundos de estratégia no cofre HLP, o sistema determina que a "saúde geral" do cofre HLP continua boa, e portanto não aciona os mecanismos de controle de risco. Este design de mecanismo de garantia compartilhada contorna inesperadamente a linha de defesa contra riscos sistêmicos de redução automática de posições (ADL), fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo acabem concentradas e explodam dentro do cofre HLP.
Análise Completa do Ataque Jelly-My-Jelly
No dia 26 de março de 2025, um ataque meticulosamente planejado ocorreu na Hyperliquid, com o alvo diretamente direcionado ao Jelly-My-Jelly (JELLY).
Fase um: Layout
Os atacantes realizaram testes de estratégia durante até dez dias antes do incidente. No dia 26 de março, quando o preço do JELLY estava oscilando em torno de 0,0095 dólares, os atacantes começaram a implementar a primeira fase. Através de transações consigo mesmos, foi construída uma posição vendida no mercado de contratos perpétuos do JELLY, no valor de cerca de 4 milhões de dólares, acompanhada de um total de 3 milhões de dólares em posições compradas de arbitragem.
Fase Dois: Ataque
O ataque entrou na segunda fase: aumento rápido do preço à vista. A capitalização de mercado da JELLY é apenas cerca de 1,5 milhões de dólares, e o livro de ordens é extremamente fraco. Os atacantes iniciaram uma ofensiva de compras em várias bolsas simultaneamente, fazendo com que o preço à vista da JELLY aumentasse rapidamente mais de 500% em um curto espaço de tempo, atingindo o pico de 0,0517 dólares.
Fase três: Explosão
A rápida elevação dos preços à vista foi rapidamente transmitida para o sistema de preços de marca da Hyperliquid. O salto repentino no preço de marca acionou diretamente as posições vendidas previamente implantadas pelos atacantes, desencadeando a liquidação forçada. Como o tesouro HLP assumiu incondicionalmente a liquidação, toda a posição de alto risco foi diretamente empurrada para o HLP.
Fase Quatro: Ondas Remanescentes
Diante da enorme pressão, os nós validadores da Hyperliquid votaram urgentemente, aprovando várias medidas de resposta: remoção imediata e permanente do contrato perpétuo JELLY; a fundação financiará a compensação total para todos os usuários afetados que não são endereços de ataque.
Conclusão
O evento Jelly-My-Jelly revelou a falha estrutural matemática no mecanismo de geração de preço de marca. O atacante aproveitou a alta correlação dos dados do oráculo, a tolerância do algoritmo de agregação a valores discrepantes e o problema da "crença cega" do sistema de liquidação para implementar com sucesso este ataque.
Este evento nos alerta: antes de entender profundamente a estrutura do jogo, qualquer mecanismo de liquidação baseado em "determinismo" é uma entrada potencial para arbitragem. As plataformas DeFi precisam estabelecer, no nível do design do mecanismo, a capacidade de auto-reflexão, para identificar e bloquear esses riscos sistêmicos encobertos pela "beleza matemática".
Somente mantendo um respeito pelo mercado e compreendendo profundamente o jogo complexo entre matemática e humanidade, poderemos construir uma infraestrutura financeira mais segura e confiável.