Quando mensageiros leais se tornam armas: preço de marca desencadeia a tempestade de liquidação do Hyperliquid
Em março de 2025, um token pouco conhecido chamado JELLY, com um volume de negociação diário inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação na ordem de milhões de dólares em uma plataforma de negociação. O que é surpreendente é que o atacante não alterou o contrato inteligente, nem explorou vulnerabilidades tradicionais no código, mas transformou o mecanismo de segurança mais crucial da plataforma — preço de marca — em uma arma.
Isto não foi um ataque de hacker, mas sim um ataque de "conformidade" às regras do sistema. Os atacantes exploraram a lógica de cálculo, os processos do algoritmo e os mecanismos de controle de risco que o plataforma tornava públicos, criando um "ataque sem código" que se revelou extremamente letal para o mercado e para os traders. O preço de marca, que deveria ser o âncora de "neutralidade e segurança" do mercado, transformou-se, neste evento, de um escudo em uma lâmina.
Este artigo irá analisar em profundidade, a partir de duas perspetivas, teórica e prática, os riscos sistemáticos do mecanismo de preço de marca no mercado de contratos perpétuos de altcoins, e fará uma revisão detalhada do ataque Jelly-My-Jelly. Este evento não apenas revelou a vulnerabilidade estrutural do design de oráculos, a propriedade de dupla face das pools de liquidez inovadoras, mas também expôs a assimetria interna da lógica de liquidação atual em situações extremas, em relação à proteção dos fundos dos usuários.
A principal contradição dos contratos perpétuos: a inclinação do mecanismo de liquidação causada pela falsa sensação de segurança
preço de marca: uma tendência de liquidação trazida por um jogo de consenso erroneamente considerado seguro
Para entender como o preço de marca se torna um ponto de ataque, é necessário primeiro desconstruir a lógica de sua composição. Embora o método de cálculo varie ligeiramente entre as exchanges, o princípio central é altamente consistente - um mecanismo de mediana em três valores construído em torno do "preço índice".
O preço do índice é a pedra angular do preço de marca. Não vem da própria bolsa de derivativos, mas é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot de referência, com o objetivo de fornecer um preço de referência justo e equitativo, independentemente da plataforma ou região.
Um método típico de cálculo do preço de marca é o seguinte:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
Price1 = preço de marca × (1 + taxa de financiamento base ): ancorar o preço do contrato ao preço de marca e considerar as expectativas do mercado.
Price2 = preço de marca + média móvel de base: usado para suavizar anomalias de preços de curto prazo.
Last Traded Price = preço de marca na plataforma de derivados.
A introdução da mediana tem como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma suposição chave: a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em conjunto.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que um atacante consegue controlar os preços em algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através de fórmulas para o preço de marca. Este tipo de ataque pode causar liquidações em grande escala com um custo mínimo, provocando uma reação em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar o risco, mas em um mercado com baixa liquidez, acaba formando uma "fragilidade centralizada" que pode ser controlada por atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e a previsibilidade de suas regras, mais os atacantes conseguem "explorar as regras de forma programática", criando um caminho de destruição que está em conformidade.
Motor de liquidação: o escudo da plataforma, mas também a lâmina
Quando o preço do mercado muda rapidamente em uma direção desfavorável, a margem dos traders será corroída por prejuízos não realizados. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o motor de liquidação será ativado.
Durante esses processos, o critério de acionamento mais central é o preço de marca, e não o preço de última transação da própria plataforma. Isso significa que, mesmo que o preço de mercado atual ainda não tenha atingido seu limite de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será acionada imediatamente.
Mais preocupante é o mecanismo de "liquidação forçada".
Em muitas exchanges, para evitar o risco de liquidação forçada, os sistemas de controle de risco geralmente adotam parâmetros de liquidação mais conservadores. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja superior ao preço real de perda que zeraria a conta, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas sim a injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a terem a impressão de que "ainda têm margem, mas foram liquidadas antecipadamente", com a conta sendo zerada diretamente.
Este mecanismo é particularmente comum em ativos com baixa liquidez. A plataforma, para sua própria proteção contra riscos, ajusta a linha de liquidação de forma mais conservadora, tornando mais fácil que as posições sejam "liquidadas antecipadamente" durante as flutuações de preços. A lógica é razoável, mas o resultado leva a um sutil desalinhamento de interesses entre a plataforma e os traders em situações extremas.
O motor de liquidação deveria ser uma ferramenta neutra de controle de risco, mas na atribuição de lucros, seleção de parâmetros e lógica de ativação, apresenta uma tendência para a lucratividade da plataforma.
a perda do preço de marca leva à distorção do motor de liquidação
Na tendência de aversão à perda nesta plataforma, a volatilidade acentuada dos preços dos índices e do preço de marca agravou ainda mais o deslocamento da linha de liquidação forçada antes de ( e depois de ).
O preço de marca é uma teoria que fornece uma referência de preço justa e resistente à manipulação, através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, esta teoria pode ser válida quando aplicada a ativos mainstream com alta liquidez, mas enfrentará desafios significativos em sua eficácia ao lidar com altcoins de baixa liquidez e locais de negociação concentrados.
A falha da mediana: o dilema estatístico da concentração das fontes de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo de mediana pode facilmente reconhecê-la como um valor atípico e ignorá-la, tomando o valor do meio como o preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em conjuntos de dados pequenos: agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: Se o índice de preço de marca de uma criptomoeda incluir apenas os preços à vista das exchanges (A, B, C). Neste caso, a mediana é o valor que está no meio dos três preços. Se um agente malicioso manipular simultaneamente os preços de duas exchanges (, por exemplo, A e B), então, não importa quão verdadeiro seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a função de proteção do algoritmo de mediana é quase zero.
Cenário de duas fontes de dados: se o índice contiver apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma das fontes de dados será transmitida diretamente, sem atenuação, para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas onde estão listadas são bastante limitados, o que faz com que seus índices de preços caiam facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Assim, a sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas, muitas vezes, é apenas uma ilusão no mundo das altcoins. Muitas vezes, o último preço de negociação é frequentemente igual ao preço de marca.
O dilema do oráculo: quando a liquidez de spot se esgota e se torna uma arma
O preço de marca baseia-se no preço índice, enquanto a origem do preço índice é o oráculo. Seja em CEX ou DEX, os oráculos desempenham o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora essa ponte seja crucial, ela se torna extremamente frágil em tempos de falta de liquidez.
oráculo: uma ponte frágil que conecta o on-chain e o off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não conseguem acessar proativamente dados fora da cadeia, como o preço de mercado dos ativos. Os oráculos de preço surgem como um sistema de middleware, responsável por transmitir dados off-chain de forma segura e confiável para on-chain, fornecendo entradas de informação do "mundo real" para a operação dos contratos inteligentes.
Em plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo, os dados de preços fornecidos por oráculos constituem quase que a pedra angular da lógica de gestão de risco. No entanto, um fato frequentemente negligenciado é que um oráculo "honesto" não significa que ele reporte um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que ele pode observar; ele não avalia se o preço se desvia dos fundamentos. Esta característica revela dois caminhos de ataque completamente diferentes:
Ataque de oráculo: o atacante manipula a fonte de dados ou o protocolo do oráculo por meios técnicos, fazendo com que reporte um preço incorreto.
Manipulação de mercado: atacantes operam no mercado externo, deliberadamente elevando ou reduzindo preços, enquanto o oráculo que funciona normalmente registra e reporta o preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas gera uma reação não prevista devido à "contaminação de informação".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi contaminada.
ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque reside em explorar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com baixa liquidez, mesmo ordens pequenas podem causar flutuações de preços acentuadas, oferecendo assim uma oportunidade para os manipuladores.
O ataque a uma plataforma de negociação em outubro de 2022 é considerado um "exemplo". Os atacantes aproveitaram a extrema falta de liquidez do seu token de governança (, que na altura tinha um volume de negociação diário inferior a 100 mil dólares ), investindo cerca de 4 milhões de dólares em várias bolsas, conseguindo elevar o preço do token em mais de 2300% em um curto período de tempo. Este "preço anômalo" foi completamente registado pelo oráculo e enviado para o protocolo na cadeia, causando um aumento explosivo no seu limite de empréstimo, resultando na "legalização" da retirada de todos os ativos da plataforma (, cerca de 116 milhões de dólares ).
Análise do Caminho de Ataque: Cinco Passos para Romper a Linha de Protocolo
Seleção de Alvo: O atacante primeiro filtra os tokens-alvo, que geralmente possuem as seguintes condições: foram listados em um contrato perpétuo em alguma plataforma de derivativos mainstream; o preço do oráculo vem de várias bolsas de spot conhecidas e com baixa liquidez; volume diário de negociações baixo, livro de ordens esparso, facilmente manipulável.
Angariação de capital: a maioria dos atacantes obtém enormes quantias de dinheiro temporárias através de "empréstimos relâmpago". Este mecanismo permite emprestar e devolver ativos em uma única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
Mercado à vista em flash: o atacante em um curto espaço de tempo emite uma grande quantidade de ordens de compra simultaneamente em todas as bolsas monitoradas pelo oráculo. Essas ordens rapidamente eliminam as ordens de venda, empurrando o preço para cima - muito longe de seu valor real.
Poluição do oráculo: o oráculo lê os preços fielmente das bolsas manipuladas mencionadas acima, e mesmo utilizando mecanismos de resistência à volatilidade como a mediana e a média ponderada, é difícil resistir à manipulação simultânea de múltiplas fontes. O preço do índice obtido no final é gravemente poluído.
preço de marca infectado: o preço de índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação erra na avaliação da faixa de risco, acionando uma "liquidação" em grande escala, resultando em grandes perdas para os traders, enquanto os atacantes podem realizar arbitragens por meio de posições opostas ou operações de empréstimo.
O "manual de operações" do atacante: a espada de dois gumes da transparência
Independentemente de ser um CEX ou um protocolo DEX, frequentemente é exaltada a "transparência de código aberto", divulgando detalhes como o mecanismo do oráculo, a ponderação da fonte de dados, a frequência de atualização de preços, entre outros, com o objetivo de estabelecer a confiança do usuário. No entanto, para os atacantes, essas informações tornam-se o "manual" para elaborar planos de ataque.
Tomando uma plataforma de negociação como exemplo, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os respectivos pesos. Um atacante pode, com base nisso, calcular com precisão quanto capital investir em cada bolsa com menor liquidez, a fim de distorcer ao máximo o índice ponderado final. Esse "engenharia algorítmica" torna o ataque controlável, previsível e minimiza custos.
A matemática é muito simples, mas as pessoas são muito complexas.
Caça ao Tesouro: Análise dos riscos estruturais de uma plataforma de negociação
Após compreender os princípios do ataque, o "atacante" deve escolher o "campo de batalha" adequado para a implementação - uma plataforma de negociação. Embora a manipulação de oráculos seja uma técnica comum de ataque, a razão pela qual o evento "Jelly-My-Jelly" pôde ocorrer nessa plataforma e causar consequências graves reside na estrutura de liquidez e no mecanismo de liquidação exclusivos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência do capital, embora cheios de inovação, também ofereceram inesperadamente uma oportunidade para o atacante.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
preço de marca como arma: Análise do risco sistêmico no mercado de Futuros Perpétuos de alts
Quando mensageiros leais se tornam armas: preço de marca desencadeia a tempestade de liquidação do Hyperliquid
Em março de 2025, um token pouco conhecido chamado JELLY, com um volume de negociação diário inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação na ordem de milhões de dólares em uma plataforma de negociação. O que é surpreendente é que o atacante não alterou o contrato inteligente, nem explorou vulnerabilidades tradicionais no código, mas transformou o mecanismo de segurança mais crucial da plataforma — preço de marca — em uma arma.
Isto não foi um ataque de hacker, mas sim um ataque de "conformidade" às regras do sistema. Os atacantes exploraram a lógica de cálculo, os processos do algoritmo e os mecanismos de controle de risco que o plataforma tornava públicos, criando um "ataque sem código" que se revelou extremamente letal para o mercado e para os traders. O preço de marca, que deveria ser o âncora de "neutralidade e segurança" do mercado, transformou-se, neste evento, de um escudo em uma lâmina.
Este artigo irá analisar em profundidade, a partir de duas perspetivas, teórica e prática, os riscos sistemáticos do mecanismo de preço de marca no mercado de contratos perpétuos de altcoins, e fará uma revisão detalhada do ataque Jelly-My-Jelly. Este evento não apenas revelou a vulnerabilidade estrutural do design de oráculos, a propriedade de dupla face das pools de liquidez inovadoras, mas também expôs a assimetria interna da lógica de liquidação atual em situações extremas, em relação à proteção dos fundos dos usuários.
A principal contradição dos contratos perpétuos: a inclinação do mecanismo de liquidação causada pela falsa sensação de segurança
preço de marca: uma tendência de liquidação trazida por um jogo de consenso erroneamente considerado seguro
Para entender como o preço de marca se torna um ponto de ataque, é necessário primeiro desconstruir a lógica de sua composição. Embora o método de cálculo varie ligeiramente entre as exchanges, o princípio central é altamente consistente - um mecanismo de mediana em três valores construído em torno do "preço índice".
O preço do índice é a pedra angular do preço de marca. Não vem da própria bolsa de derivativos, mas é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot de referência, com o objetivo de fornecer um preço de referência justo e equitativo, independentemente da plataforma ou região.
Um método típico de cálculo do preço de marca é o seguinte:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
Price1 = preço de marca × (1 + taxa de financiamento base ): ancorar o preço do contrato ao preço de marca e considerar as expectativas do mercado.
Price2 = preço de marca + média móvel de base: usado para suavizar anomalias de preços de curto prazo.
Last Traded Price = preço de marca na plataforma de derivados.
A introdução da mediana tem como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma suposição chave: a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em conjunto.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que um atacante consegue controlar os preços em algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através de fórmulas para o preço de marca. Este tipo de ataque pode causar liquidações em grande escala com um custo mínimo, provocando uma reação em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar o risco, mas em um mercado com baixa liquidez, acaba formando uma "fragilidade centralizada" que pode ser controlada por atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e a previsibilidade de suas regras, mais os atacantes conseguem "explorar as regras de forma programática", criando um caminho de destruição que está em conformidade.
Motor de liquidação: o escudo da plataforma, mas também a lâmina
Quando o preço do mercado muda rapidamente em uma direção desfavorável, a margem dos traders será corroída por prejuízos não realizados. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o motor de liquidação será ativado.
Durante esses processos, o critério de acionamento mais central é o preço de marca, e não o preço de última transação da própria plataforma. Isso significa que, mesmo que o preço de mercado atual ainda não tenha atingido seu limite de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será acionada imediatamente.
Mais preocupante é o mecanismo de "liquidação forçada".
Em muitas exchanges, para evitar o risco de liquidação forçada, os sistemas de controle de risco geralmente adotam parâmetros de liquidação mais conservadores. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja superior ao preço real de perda que zeraria a conta, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas sim a injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a terem a impressão de que "ainda têm margem, mas foram liquidadas antecipadamente", com a conta sendo zerada diretamente.
Este mecanismo é particularmente comum em ativos com baixa liquidez. A plataforma, para sua própria proteção contra riscos, ajusta a linha de liquidação de forma mais conservadora, tornando mais fácil que as posições sejam "liquidadas antecipadamente" durante as flutuações de preços. A lógica é razoável, mas o resultado leva a um sutil desalinhamento de interesses entre a plataforma e os traders em situações extremas.
O motor de liquidação deveria ser uma ferramenta neutra de controle de risco, mas na atribuição de lucros, seleção de parâmetros e lógica de ativação, apresenta uma tendência para a lucratividade da plataforma.
a perda do preço de marca leva à distorção do motor de liquidação
Na tendência de aversão à perda nesta plataforma, a volatilidade acentuada dos preços dos índices e do preço de marca agravou ainda mais o deslocamento da linha de liquidação forçada antes de ( e depois de ).
O preço de marca é uma teoria que fornece uma referência de preço justa e resistente à manipulação, através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, esta teoria pode ser válida quando aplicada a ativos mainstream com alta liquidez, mas enfrentará desafios significativos em sua eficácia ao lidar com altcoins de baixa liquidez e locais de negociação concentrados.
A falha da mediana: o dilema estatístico da concentração das fontes de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo de mediana pode facilmente reconhecê-la como um valor atípico e ignorá-la, tomando o valor do meio como o preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em conjuntos de dados pequenos: agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: Se o índice de preço de marca de uma criptomoeda incluir apenas os preços à vista das exchanges (A, B, C). Neste caso, a mediana é o valor que está no meio dos três preços. Se um agente malicioso manipular simultaneamente os preços de duas exchanges (, por exemplo, A e B), então, não importa quão verdadeiro seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a função de proteção do algoritmo de mediana é quase zero.
Cenário de duas fontes de dados: se o índice contiver apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma das fontes de dados será transmitida diretamente, sem atenuação, para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas onde estão listadas são bastante limitados, o que faz com que seus índices de preços caiam facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Assim, a sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas, muitas vezes, é apenas uma ilusão no mundo das altcoins. Muitas vezes, o último preço de negociação é frequentemente igual ao preço de marca.
O dilema do oráculo: quando a liquidez de spot se esgota e se torna uma arma
O preço de marca baseia-se no preço índice, enquanto a origem do preço índice é o oráculo. Seja em CEX ou DEX, os oráculos desempenham o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora essa ponte seja crucial, ela se torna extremamente frágil em tempos de falta de liquidez.
oráculo: uma ponte frágil que conecta o on-chain e o off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não conseguem acessar proativamente dados fora da cadeia, como o preço de mercado dos ativos. Os oráculos de preço surgem como um sistema de middleware, responsável por transmitir dados off-chain de forma segura e confiável para on-chain, fornecendo entradas de informação do "mundo real" para a operação dos contratos inteligentes.
Em plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo, os dados de preços fornecidos por oráculos constituem quase que a pedra angular da lógica de gestão de risco. No entanto, um fato frequentemente negligenciado é que um oráculo "honesto" não significa que ele reporte um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que ele pode observar; ele não avalia se o preço se desvia dos fundamentos. Esta característica revela dois caminhos de ataque completamente diferentes:
Ataque de oráculo: o atacante manipula a fonte de dados ou o protocolo do oráculo por meios técnicos, fazendo com que reporte um preço incorreto.
Manipulação de mercado: atacantes operam no mercado externo, deliberadamente elevando ou reduzindo preços, enquanto o oráculo que funciona normalmente registra e reporta o preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas gera uma reação não prevista devido à "contaminação de informação".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi contaminada.
ponto de ataque: quando a falta de liquidez se torna uma arma
O núcleo deste tipo de ataque reside em explorar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com baixa liquidez, mesmo ordens pequenas podem causar flutuações de preços acentuadas, oferecendo assim uma oportunidade para os manipuladores.
O ataque a uma plataforma de negociação em outubro de 2022 é considerado um "exemplo". Os atacantes aproveitaram a extrema falta de liquidez do seu token de governança (, que na altura tinha um volume de negociação diário inferior a 100 mil dólares ), investindo cerca de 4 milhões de dólares em várias bolsas, conseguindo elevar o preço do token em mais de 2300% em um curto período de tempo. Este "preço anômalo" foi completamente registado pelo oráculo e enviado para o protocolo na cadeia, causando um aumento explosivo no seu limite de empréstimo, resultando na "legalização" da retirada de todos os ativos da plataforma (, cerca de 116 milhões de dólares ).
Análise do Caminho de Ataque: Cinco Passos para Romper a Linha de Protocolo
Seleção de Alvo: O atacante primeiro filtra os tokens-alvo, que geralmente possuem as seguintes condições: foram listados em um contrato perpétuo em alguma plataforma de derivativos mainstream; o preço do oráculo vem de várias bolsas de spot conhecidas e com baixa liquidez; volume diário de negociações baixo, livro de ordens esparso, facilmente manipulável.
Angariação de capital: a maioria dos atacantes obtém enormes quantias de dinheiro temporárias através de "empréstimos relâmpago". Este mecanismo permite emprestar e devolver ativos em uma única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
Mercado à vista em flash: o atacante em um curto espaço de tempo emite uma grande quantidade de ordens de compra simultaneamente em todas as bolsas monitoradas pelo oráculo. Essas ordens rapidamente eliminam as ordens de venda, empurrando o preço para cima - muito longe de seu valor real.
Poluição do oráculo: o oráculo lê os preços fielmente das bolsas manipuladas mencionadas acima, e mesmo utilizando mecanismos de resistência à volatilidade como a mediana e a média ponderada, é difícil resistir à manipulação simultânea de múltiplas fontes. O preço do índice obtido no final é gravemente poluído.
preço de marca infectado: o preço de índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação erra na avaliação da faixa de risco, acionando uma "liquidação" em grande escala, resultando em grandes perdas para os traders, enquanto os atacantes podem realizar arbitragens por meio de posições opostas ou operações de empréstimo.
O "manual de operações" do atacante: a espada de dois gumes da transparência
Independentemente de ser um CEX ou um protocolo DEX, frequentemente é exaltada a "transparência de código aberto", divulgando detalhes como o mecanismo do oráculo, a ponderação da fonte de dados, a frequência de atualização de preços, entre outros, com o objetivo de estabelecer a confiança do usuário. No entanto, para os atacantes, essas informações tornam-se o "manual" para elaborar planos de ataque.
Tomando uma plataforma de negociação como exemplo, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os respectivos pesos. Um atacante pode, com base nisso, calcular com precisão quanto capital investir em cada bolsa com menor liquidez, a fim de distorcer ao máximo o índice ponderado final. Esse "engenharia algorítmica" torna o ataque controlável, previsível e minimiza custos.
A matemática é muito simples, mas as pessoas são muito complexas.
Caça ao Tesouro: Análise dos riscos estruturais de uma plataforma de negociação
Após compreender os princípios do ataque, o "atacante" deve escolher o "campo de batalha" adequado para a implementação - uma plataforma de negociação. Embora a manipulação de oráculos seja uma técnica comum de ataque, a razão pela qual o evento "Jelly-My-Jelly" pôde ocorrer nessa plataforma e causar consequências graves reside na estrutura de liquidez e no mecanismo de liquidação exclusivos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência do capital, embora cheios de inovação, também ofereceram inesperadamente uma oportunidade para o atacante.