Piège de la médiane : comment JELLY manipule le prix de marque pour déclencher le domino de liquidation de Hyperliquid ?

Lorsque le messager loyal a été armé - prix de marque, ce juge impartial est devenu la mèche qui a déclenché la tempête de liquidation en série de Hyperliquid.

En mars 2025, un jeton obscur avec un volume de transactions quotidien de moins de 2 millions de dollars - JELLY - a déclenché une tempête de liquidation de plusieurs millions de dollars sur Hyperliquid. Ce qui est choquant, c’est que l’attaquant n’a ni altéré le contrat intelligent, ni exploité des vulnérabilités de code traditionnelles, mais a utilisé le mécanisme de sécurité le plus essentiel de la plateforme - le prix de marque - comme une arme.

Ce n’est pas une attaque de hacker, mais une “attaque de conformité” contre les règles du système. Les attaquants ont utilisé la logique de calcul, les processus algorithmiques et les mécanismes de contrôle des risques publiés par la plateforme pour créer une “attaque sans code” extrêmement destructrice pour le marché et les traders. Le prix de marque, qui aurait dû servir d’ancre “neutre et sécurisée” pour le marché, est devenu une arme dans cet événement.

Cet article analysera en profondeur, tant du point de vue théorique que pratique, les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme des altcoins, et effectuera une rétrospective détaillée de l’incident d’attaque Jelly-My-Jelly. Cet incident a non seulement mis en évidence la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidités innovants (HLP Vault), mais a également révélé l’asymétrie intrinsèque de la protection des fonds des utilisateurs par la logique de liquidation actuelle dans des conditions de marché extrêmes.

Première partie : Le paradoxe central des contrats à terme perpétuels - Le biais des mécanismes de liquidation apporté par un faux sentiment de sécurité.

1.1 prix de marque : une tendance de liquidation apportée par un jeu de consensus jugé sûr

Pour comprendre comment le prix de marque devient un point d’entrée pour une attaque, il faut d’abord décomposer sa logique de composition. Bien que les méthodes de calcul varient légèrement d’une plateforme à l’autre, le principe de base est hautement cohérent - un mécanisme de médiane à trois valeurs construit autour du “prix indiciel”.

• Le prix index (Index Price) est la pierre angulaire du prix de marque. Il ne provient pas de l’échange de dérivés lui-même, mais est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot mainstream (comme Binance, Coinbase, Kraken, etc.), visant à fournir un prix de référence équitable inter-plateformes et inter-régions.

Une méthode typique de calcul du prix de marque est la suivante :

Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)

• Price1 = prix de marque × (1 + écart de taux de financement ) : ancre le prix du contrat au prix de marque et prend en compte les attentes du marché.
• Price2 = prix de marque + écart de moyenne mobile : utilisé pour lisser les anomalies de prix à court terme.
• Last Traded Price = prix de marque sur la plateforme de dérivés.

L’introduction de la médiane a pour but d’éliminer les valeurs aberrantes et d’améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur une hypothèse clé : la quantité de sources de données en entrée est suffisante, leur distribution est raisonnable, leur liquidité est forte et elles sont difficiles à manipuler de manière coordonnée.

Cependant, dans la réalité, le marché au comptant de la grande majorité des altcoins est extrêmement faible. Dès qu’un attaquant parvient à contrôler les prix de quelques plateformes à faible liquidité, il peut “polluer” le prix de l’indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque par le biais d’une formule. Cette attaque peut déclencher des liquidations massives de leviers à un coût minimal, provoquant un effet domino.

En d’autres termes, le mécanisme d’agrégation est censé disperser les risques, mais dans un marché peu liquide, il crée au contraire une “faiblesse centralisée” contrôlable par les attaquants. Plus les plateformes de dérivés insistent sur la transparence et la prévisibilité de leurs règles, plus les attaquants peuvent “exploiter les règles de manière programmée” pour créer un chemin de destruction conforme.

1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi sa lame

Lorsque le prix du marché fluctue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du “prix de marque” (Maintenance Margin), le moteur de liquidation sera déclenché.

Dans ces processus, le critère déclencheur le plus essentiel est le prix de marque (Mark price), et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n’a pas encore atteint votre ligne de liquidation, dès que ce “prix de marque” “invisible” est atteint, la liquidation sera immédiatement déclenchée.

Il est d’autant plus préoccupant que le mécanisme de « liquidation forcée » (ou de liquidation anticipée).

Dans de nombreuses bourses, afin d’éviter les risques de liquidation, le système de gestion des risques adopte souvent des paramètres de liquidation plutôt conservateurs. Lorsque la liquidation forcée est déclenchée, même si le prix de clôture est meilleur que le prix à zéro des pertes réelles, la plateforme ne restitue généralement pas cette partie du “surplus de liquidation forcée”, mais l’injecte directement dans le fonds d’assurance de la plateforme. Cela crée chez les traders une illusion de “marge encore disponible, mais liquidation anticipée”, et le compte est directement ramené à zéro.

Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour couvrir ses propres risques, la plateforme ajustera la ligne de liquidation de manière plus conservatrice, ce qui rendra plus facile la liquidation anticipée des positions lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage des intérêts entre la plateforme et les traders dans des conditions de marché extrêmes.

Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l’attribution des revenus, le choix des paramètres et la logique de déclenchement, il présente une tendance à la profitabilité de la plateforme.

1.3 L’expiration du prix de marque entraîne une distorsion du moteur de liquidation

Sous la tendance à détester les pertes sur cette plateforme, la volatilité extrême des prix des indices et des prix de marque aggrave encore le déplacement préalable (postérieur) de ces liquidations forcées.

La théorie du prix de marque propose un référentiel de prix juste et résistant à la manipulation en agrégeant des données provenant de multiples sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut être valable lorsqu’elle est appliquée à des actifs majeurs avec une forte liquidité, mais son efficacité sera confrontée à de sérieux défis lorsqu’il s’agit de cryptomonnaies peu liquides et de lieux de négociation concentrés.

L’échec de la médiane : le dilemme statistique des sources de données centralisées

• Validité dans de grands ensembles de données : supposons qu’un indice de prix contienne 10 sources de données indépendantes et très liquides. Si l’une de ces sources de données présente un prix extrême pour une raison quelconque, l’algorithme de la médiane peut facilement l’identifier comme une valeur aberrante et l’ignorer, prenant la valeur médiane comme prix final, maintenant ainsi la stabilité de l’indice.
• Vulnérabilités dans de petits ensembles de données : maintenant, nous considérons un scénario typique de altcoin.
• Scénario des trois sources de données : Si l’indice de prix de marque d’une cryptomonnaie ne contient que les prix au comptant de trois bourses (A, B, C). Dans ce cas, la médiane est le prix qui se trouve au milieu des trois prix. Si un acteur malveillant manipule simultanément les prix de deux bourses (par exemple A et B), alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, l’effet protecteur de l’algorithme de médiane est presque nul.
• Scénario à double source de données : si l’indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l’algorithme perd complètement sa capacité à éliminer les valeurs aberrantes. Toute fluctuation brutale d’une des sources de données se transmet directement, sans atténuation, au prix de marque.

Pour la grande majorité des altcoins, la profondeur de marché et le nombre d’échanges sur lesquels ils sont cotés sont très limités, ce qui rend leur indice de prix très susceptible de tomber dans le piège des “petits ensembles de données” mentionné ci-dessus. Ainsi, le sentiment de sécurité apporté par le “multi-source index” revendiqué par les échanges n’est souvent qu’une illusion dans le monde des altcoins. Très souvent, le dernier prix de transaction équivaut au prix de marque.

Deuxième partie : Le dilemme de l’oracle : quand la liquidité au comptant s’épuise et devient une arme

Le prix de marque est fondé sur le prix indiciel, dont la source est l’oracle. Que ce soit pour un CEX ou un DEX, l’oracle joue un rôle de pont dans la transmission d’informations entre la chaîne et l’extérieur. Cependant, bien que ce pont soit essentiel, il est extrêmement fragile en période de manque de liquidité.

2.1 Oracles : le pont fragile qui connecte on-chain et off-chain

Un système de blockchain est essentiellement fermé et déterministe, et les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que le prix de marché des actifs. Les oracles sont nés de cette nécessité, ils constituent un système intermédiaire chargé de transmettre de manière sécurisée et fiable des données hors chaîne vers la chaîne, fournissant ainsi des informations du “monde réel” pour le fonctionnement des contrats intelligents.

Dans les plateformes de trading de contrats à terme perpétuels ou les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de leur logique de gestion des risques. Cependant, un fait souvent négligé est qu’un oracle “honnête” ne signifie pas qu’il rapporte un prix “raisonnable”. La responsabilité de l’oracle est simplement de consigner fidèlement l’état du monde extérieur qu’il peut observer, sans juger si le prix s’éloigne des fondamentaux. Cette caractéristique révèle deux voies d’attaque tout à fait distinctes :

• Attaque d’oracle (Oracle Exploit) : un attaquant manipule par des moyens techniques les sources de données ou les protocoles d’oracle pour faire rapporter des prix erronés.
• Manipulation de marché (Market Manipulation) : Les attaquants manipulent les marchés externes par des opérations réelles, faisant monter ou descendre délibérément les prix, tandis que l’oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché “manipulé”. Le protocole sur la chaîne n’a pas été piraté, mais a une réaction non prévue en raison de “contamination d’information”.

Le second est la substance des événements de Mango Markets et Jelly-My-Jelly : ce n’est pas l’oracle qui a été compromis, mais sa “fenêtre d’observation” qui a été polluée.

2.2 Point d’attaque : lorsque le défaut de liquidité devient une arme

Le cœur de ce type d’attaque réside dans l’exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, même de petits ordres peuvent provoquer de fortes fluctuations de prix, offrant ainsi une opportunité aux manipulateurs.

L’attaque contre Mango Markets en octobre 2022 est considérée comme un “modèle”. L’attaquant Avraham Eisenberg a profité de l’épuisement extrême de la liquidité de son jeton de gouvernance MNGO (avec un volume de transactions quotidien de moins de 100 000 dollars à l’époque) en investissant environ 4 millions de dollars de manière concentrée sur plusieurs échanges, réussissant à faire grimper le prix de MNGO de plus de 2300 % en très peu de temps. Ce “prix anormal” a été enregistré intégralement par l’oracle et alimenté au protocole sur la chaîne, entraînant une explosion de la capacité d’emprunt, permettant finalement de “vider légalement” tous les actifs de la plateforme (environ 116 millions de dollars).

Détails sur le chemin d’attaque : cinq étapes pour percer la ligne de défense du protocole

1. Sélection de la cible (Target Selection) : Les attaquants commencent par sélectionner des jetons cibles, qui répondent généralement aux conditions suivantes : ils ont lancé des contrats perpétuels sur une plateforme dérivée majeure ; le prix oracle provient de plusieurs bourses au comptant connues et à faible liquidité ; le volume des transactions quotidien est faible, le carnet de commandes est clairsemé, ce qui les rend facilement manipulables.
2. Acquisition de capital : La plupart des attaquants obtiennent d’énormes fonds temporaires grâce aux prêts éclair. Ce mécanisme permet d’emprunter et de rembourser des actifs dans une seule transaction, sans aucune garantie, ce qui réduit considérablement les coûts de manipulation.
3. Blitz du marché au comptant (Spot Market Blitz) : L’attaquant passe une grande quantité d’ordres d’achat simultanément sur tous les échanges surveillés par l’oracle en très peu de temps. Ces ordres nettoient rapidement les ordres de vente, propulsant le prix vers le haut - loin de sa valeur réelle.
4. Contamination des oracles : Les oracles lisent fidèlement les prix des échanges manipulés mentionnés ci-dessus. Même en utilisant des mécanismes de résistance à la volatilité comme la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation multi-sources simultanée. Le prix indexé final est gravement contaminé.
5. Infection du prix de marque (Mark Price Infection) : le prix d’indice contaminé entre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation évalue mal la plage de risque, déclenchant une “liquidation” à grande échelle, entraînant des pertes lourdes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par le biais de positions inverses ou d’opérations de prêt.

Manuel de l’attaquant : l’épée à double tranchant de la transparence

Que ce soit pour les CEX ou les protocoles DEX, ils se vantent souvent d’une “transparence open source” comme d’une vertu, en rendant publics les détails de leur mécanisme d’oracle, des poids de provenance des données, de la fréquence de mise à jour des prix, etc., afin d’établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un “manuel” pour élaborer des plans d’attaque.

Prenons Hyperliquid comme exemple, son architecture d’oracle énumère publiquement toutes les bourses de sources de données et leurs poids. Les attaquants peuvent ainsi calculer précisément combien de fonds investir dans chaque bourse ayant la liquidité la plus faible, afin de déformer au maximum l’indice pondéré final. Ce “ingénierie algorithmique” rend les attaques contrôlables, prévisibles et minimise les coûts.

Les mathématiques sont simples, mais les gens sont complexes.

Partie trois : Terrain de chasse —— Analyse des risques structurels de Hyperliquid

Après avoir compris le principe de l’attaque, l’“attaquant” doit ensuite choisir un “champ de bataille” approprié pour mettre en œuvre son attaque - Hyperliquid. Bien que la manipulation des oracles soit une méthode d’attaque courante, la raison pour laquelle l’incident “Jelly-My-Jelly” a pu se produire sur Hyperliquid et causer des conséquences graves réside dans l’architecture de liquidité et le mécanisme de liquidation propres à cette plateforme. Ces conceptions, qui visent à améliorer l’expérience utilisateur et l’efficacité du capital, bien qu’innovantes, ont également accidentellement fourni aux attaquants un “terrain de chasse” idéal.

3.1 HLP Trésorerie : Market makers et contreparties de liquidation démocratisés

L’une des innovations clés de Hyperliquid est son coffre-fort HLP - un pool de fonds géré de manière unifiée par le protocole, portant une double fonction. (Présentation détaillée de HLP :

）

Tout d’abord, HLP agit en tant que teneur de marché actif de la plateforme. Il permet aux utilisateurs de la communauté de déposer des USDC dans le coffre-fort, de participer à la stratégie de tenue de marché automatisée de la plateforme et de partager les bénéfices (ou les pertes) proportionnellement. Ce mécanisme de tenue de marché “démocratisé” permet à HLP de continuer à fournir des carnets d’ordres pour de nombreux altcoins manquant de liquidité. C’est pourquoi même des jetons à faible capitalisation comme JELLY peuvent soutenir des positions à effet de levier de plusieurs millions de dollars sur Hyperliquid - ce qui est difficile à réaliser dans les échanges traditionnels. (En d’autres termes, cela permet d’ouvrir des positions)

Cependant, ce design attire non seulement des spéculateurs, mais aussi une existence plus dangereuse : des attaquants qui manipulent délibérément le marché.

Plus important encore, le HLP joue également le rôle de “soutien à la liquidation et au stop loss” de la plateforme, c’est-à-dire la contrepartie finale de la liquidation. Lorsque des positions à effet de levier sont liquidées de force et qu’il n’y a pas assez de liquidateurs sur le marché prêts à prendre le relais, le protocole transférera automatiquement ces positions à haut risque au trésor HLP, et ce, au prix indiqué par l’oracle.

Cette mécanique a pour conséquence que : HLP est devenu un acteur de reprise entièrement prévisible, sans capacité de jugement autonome. Lors de la mise en œuvre de stratégies, l’attaquant peut parfaitement prédire que sa “position toxique”, une fois déclenchée pour liquidation, sera reprise non pas par un contrepartie aléatoire et imprévisible sur le marché, mais par un système automatisé : le HLP vault, qui exécute la logique des contrats intelligents et agit à 100 % selon les règles.

3.2 Défauts structurels du mécanisme de liquidation

L’événement Jelly-My-Jelly a révélé une faille mortelle de Hyperliquid dans des conditions de marché extrêmes, dont la source réside dans la structure de financement interne et le mode de liquidation du trésor HLP.

Lorsqu’une attaque se produit, il n’existe pas de mécanisme d’isolation strict entre le “pool de réserve de liquidation” qui gère les positions liquidées et d’autres pools de fonds exécutant des stratégies de market-making, etc. Ils partagent la même garantie. Lorsque la position courte de 4 millions de dollars de l’attaquant est liquidée en raison de l’envolée du prix de marque, cette position est complètement transférée au pool de réserve de liquidation. Avec la hausse continue du prix de JELLY, les pertes de cette position continuent de s’aggraver.

L’attaquant n’a qu’à déclencher la liquidation (réduire activement la marge) pour refiler sa position perdante de manière “transparent” à un acquéreur au sein du système - le coffre HLP. L’attaquant sait pertinemment : les règles du protocole obligeront le HLP à intervenir au moment le moins favorable du prix, devenant ainsi son “acheteur inconditionnel”.

En théorie, lorsque la position subit une perte énorme menaçant la stabilité du système de la plateforme, le mécanisme de réduction automatique de position ADL devrait être déclenché, forçant les utilisateurs dont la direction est opposée à la rentabilité à réduire leurs positions afin de répartir le risque. Mais cette fois, l’ADL ne s’est pas activé.

La raison en est que : bien que le pool de réserve de liquidation soit lui-même en profonde perte, il peut appeler les actifs collatéraux d’autres pools de stratégie dans l’ensemble du coffre HLP, le système jugeant que la “santé globale” du coffre HLP reste bonne, ce qui n’a donc pas déclenché le mécanisme de contrôle des risques. Ce mécanisme de partage des collatéraux a, de manière inattendue, contourné cette ligne de défense systémique qu’est l’ADL, entraînant des pertes qui auraient dû être supportées par le marché dans son ensemble, se concentrant finalement dans le coffre HLP.

Quatrième partie : Analyse de cas - Revue complète de l’attaque Jelly-My-Jelly

Le 26 mars 2025, une attaque soigneusement planifiée s’est déroulée sur Hyperliquid, visant directement Jelly-My-Jelly (JELLY). Cette attaque a habilement combiné la manipulation de la liquidité, une compréhension approfondie du mécanisme des oracles, et l’exploitation des faiblesses structurelles de la plateforme, devenant un cas classique de déconstruction des modèles d’attaque modernes en DeFi.

4.1 Phase un : Mise en place —— Piège à short d’une valeur de 4 millions de dollars

Cette attaque n’était pas un acte impulsif. Les données on-chain montrent que l’attaquant a testé sa stratégie par une série de petites transactions pendant dix jours avant l’incident, manifestement en préparation de l’action finale.

Le 26 mars, alors que le prix au comptant de JELLY oscillait autour de 0,0095 dollars, l’attaquant a commencé à mettre en œuvre la première phase. Plusieurs adresses de portefeuille ont participé, dont l’adresse 0xde96 qui est l’exécuteur clé. L’attaquant a silencieusement construit une position courte d’une valeur d’environ 4 millions de dollars sur le marché des contrats perpétuels de JELLY par le biais de transactions auto-entreprises (c’est-à-dire agissant à la fois en tant qu’acheteur et vendeur), accompagnée d’un total de 3 millions de dollars de positions longues d’arbitrage. L’objectif de ces transactions d’arbitrage est de maximiser l’open interest des contrats non réglés tout en évitant de déclencher des fluctuations anormales du marché, établissant ainsi les bases pour une manipulation des prix et une incitation à la liquidation ultérieure.

4.2 Phase 2 : Raid — Blitzkrieg sur le marché au comptant

Une fois la mise en page terminée, l’attaque entre dans la deuxième phase : faire rapidement monter le prix au comptant. JELLY est l’objectif tant convoité par les manipulateurs. Sa capitalisation boursière totale n’est que d’environ 15 millions de dollars, et le carnet de commandes sur les échanges principaux est extrêmement faible. Selon les données de Kaiko Research, sa profondeur de marché de 1 % n’est que de 72 000 dollars, bien en dessous des autres jetons similaires.

Les attaquants ont précisément profité de cela pour lancer une offensive d’achat simultanée sur plusieurs échanges centralisés et décentralisés. En raison du manque de soutien des ventes, le prix au comptant de JELLY a été rapidement propulsé en peu de temps. Partant de 0,008 $, le prix a grimpé de plus de 500 % en moins d’une heure, atteignant un pic de 0,0517 $. Pendant ce temps, le volume des transactions a également explosé. Rien qu’avec l’échange Bybit, le volume de transactions de JELLY a dépassé 150 millions de dollars ce jour-là, établissant un nouveau record historique.

4.3 Phase trois : Déclenchement —— Pollution des oracles et cascade de liquidation

La montée rapide des prix au comptant se propage rapidement au système de prix de marque de Hyperliquid. Le mécanisme d’oracle de Hyperliquid utilise un algorithme de médiane pondérée multi-sources, intégrant les données au comptant de plusieurs échanges tels que Binance, OKX, Bybit, etc. En raison de l’action synchronisée des attaquants sur ces sources clés, le prix indice agrégé est efficacement contaminé, entraînant une hausse synchronisée du prix de marque à l’intérieur de la plateforme.

Le saut du prix de marque a directement déclenché la position à découvert que les attaquants avaient déployée auparavant. Avec l’élargissement des pertes, cette position d’une valeur de 4 millions de dollars a entraîné une liquidation forcée. Ce n’est pas un échec de l’attaque, mais plutôt un élément central de la conception de l’attaque.

Étant donné que le coffre-fort HLP agit en tant que contrepartie de liquidation de la plateforme, il reprend sans condition selon la logique des contrats intelligents, et que le système de liquidation n’a pas réussi à déclencher le mécanisme ADL (réduction automatique des positions) pour répartir les risques, l’ensemble des positions à haut risque est directement transféré au HLP. En d’autres termes, l’attaquant a réussi à « socialiser » ses pertes de liquidation, obligeant les fournisseurs de liquidité du HLP à payer pour ses actions manipulatrices.

4.4 Phase quatre : répercussions - Retrait d’urgence et réflexion sur le marché

Alors qu’Hyperliquid est plongé dans le chaos, le marché extérieur a également connu des réactions complexes. Dans l’heure où JELLY a été manipulé à un niveau élevé, Binance et OKX ont presque simultanément lancé des contrats à terme JELLY. Ce comportement est généralement interprété par le marché comme une “opportunité de profit” au détriment de la concurrente Hyperliquid, aggravant ainsi la volatilité du marché de JELLY et élargissant indirectement les pertes potentielles du trésor HLP.

Face à une pression énorme du marché et de la communauté, les nœuds validateurs de Hyperliquid ont voté en urgence, adoptant plusieurs mesures : retrait immédiat et permanent du contrat à terme JELLY ; la fondation finance une compensation intégrale pour tous les utilisateurs affectés non attaquants.

Selon les données de Lookonchain, au plus fort de l’attaque, les pertes non réalisées du trésor HLP ont atteint jusqu’à 12 millions de dollars. Bien que Hyperliquid ait finalement rapporté que la perte totale sur 24 heures était contrôlée à 700 000 dollars, l’impact de l’ensemble de l’événement sur la structure de la plateforme et le système de gestion des risques est sans aucun doute profond.

Processus d’événement JELLY

Conclusion —— L’“illusion de marque” et la proposition de défense des contrats à terme perpétuels

Les attaquants dans l’événement Jelly-My-Jelly n’ont pas dépendu de vulnérabilités complexes des contrats ou de moyens cryptographiques, ils ont simplement décelé et exploité le défaut structurel mathématique du mécanisme de génération du prix de marque - petites sources de données, agrégation de la médiane, fragmentation de la liquidité, et ont opéré en utilisant le mécanisme de liquidation du marché. Cette attaque ne nécessite pas de techniques de hacking sophistiquées, mais uniquement des opérations de marché raisonnables et une compréhension approfondie de la logique du protocole.

Le problème fondamental du contrôle du prix de marque est le suivant :

• Haute corrélation des données des oracles : Ce qui semble être des entrées de prix “multi-sources” provient en réalité de quelques échanges avec une liquidité gravement superposée. Une fois que quelques échanges clés sont compromis, tout l’indice de prix devient inefficace.
• Tolérance des algorithmes d’agrégation aux valeurs aberrantes : la médiane est efficace dans les grands échantillons, mais presque inefficace dans les petits échantillons ; lorsque la source d’entrée elle-même est “achetée”, même le meilleur algorithme ne peut rien y faire.
• Le problème de “la confiance aveugle” dans les systèmes de liquidation : presque toutes les plateformes CEX et DeFi supposent par défaut que le prix de marque est juste, le considérant comme un déclencheur de liquidation. Mais en réalité, cette confiance est souvent fondée sur des données corrompues.

Établir une véritable “anti-manipulation” entre l’algorithme et le jeu

Le prix de marque ne devrait pas être une valeur “mathématiquement correcte mais fragile en termes de jeu”, mais plutôt un produit d’un mécanisme capable de maintenir la stabilité sous la pression du marché réel. L’idéal de la DeFi est de construire la confiance par le code, mais le code n’est pas parfait, il peut aussi figer des préjugés, amplifier des défauts présumés, et même devenir une arme entre les mains des attaquants.

L’événement Jelly-My-Jelly n’est pas un accident et ne sera pas le dernier. C’est un avertissement : sans une compréhension approfondie de la structure du jeu, tout mécanisme de liquidation basé sur la “détermination” est une porte d’entrée potentielle pour l’arbitrage. Pour que le mécanisme mûrisse, il ne suffit pas d’avoir une vitesse de correspondance plus rapide et une efficacité du capital plus élevée, mais il faut également une capacité d’introspection au niveau de la conception du mécanisme, capable d’identifier et de combler ces risques systémiques masqués par une “beauté mathématique”.

Souhaitons que nous gardions toujours un cœur respectueux du marché.

Les mathématiques sont simples, les gens sont complexes.

Seul le jeu historique se répète.

Savoir ce qui est, et savoir pourquoi c’est.