Quand le prix de marque devient une arme : analyse des risques systémiques sur le marché des Futures Perpétuel
En mars 2025, un token peu connu, JELLY, avec un volume de transactions quotidiennes de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme d'échange. Ce n'était pas une attaque de hacker traditionnelle, mais une "attaque de conformité" sur les règles du système. L'attaquant a exploité la logique de calcul, les processus algorithmiques et les mécanismes de gestion des risques publiés par la plateforme, créant une "attaque sans code" extrêmement destructrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sûr" pour le marché, est devenu une arme fatale dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins et effectuera un examen détaillé de l'incident d'attaque Jelly-My-Jelly. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidités innovants, mais a également exposé l'asymétrie interne de la logique de liquidation dominante actuelle en matière de protection des fonds des utilisateurs en cas de conditions extrêmes sur le marché.
Première partie : le paradoxe central des Futures Perpétuel - le biais du mécanisme de liquidation dû à un faux sentiment de sécurité
1.1 prix de marque : une tendance de liquidation résultant d'un jeu de consensus jugé sûr
Le principe central du prix de marque repose sur un mécanisme à trois valeurs construit autour du "prix index". Le prix index est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot majeures. Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix négocié)
L'introduction de la médiane vise à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Toutefois, la sécurité de ce design repose entièrement sur l'hypothèse que le nombre de sources de données d'entrée est suffisant, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière conjointe.
Cependant, dans la réalité, le marché au comptant de la grande majorité des altcoins est extrêmement faible. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque grâce à une formule. Cette attaque peut déclencher des liquidations à effet de levier à grande échelle à un coût minimal, provoquant un effet domino.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi sa lame.
Le critère de déclenchement central du moteur de liquidation est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint la ligne de liquidation, dès que ce "prix de marque" "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est encore plus important de faire attention au mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation plutôt conservateurs afin d'éviter le risque de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix d'effondrement réel des pertes, la plateforme ne rembourse généralement pas cette partie du "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour se couvrir contre leurs propres risques, les plateformes ajustent la ligne de liquidation de manière plus conservatrice, ce qui rend plus probable que les positions soient "liquidées à l'avance" lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage des intérêts entre la plateforme et les traders lors de conditions de marché extrêmes.
1.3 L'expiration du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance de l'aversion à la perte sur la plateforme, la forte volatilité des prix des indices et des prix de marque aggrave encore le déplacement (ou le recul) des liquidations forcées.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut être valide lorsqu'elle est appliquée à des actifs grand public avec une liquidité abondante, mais son efficacité sera confrontée à des défis sérieux lorsqu'il s'agit de cryptomonnaies à faible liquidité et à des lieux de négociation concentrés.
Pour la grande majorité des altcoins, la profondeur des échanges et le nombre d'échanges listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données". Ainsi, le sentiment de sécurité apporté par les "indices multi-sources" revendiqués par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Souvent, le dernier prix de transaction est équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles - Quand la liquidité au comptant s'épuise et devient une arme
2.1 Oracle : un pont fragile reliant on-chain et off-chain
Un oracle de prix est un système de middleware chargé de transmettre des données off-chain de manière sécurisée et fiable sur la chaîne, fournissant des entrées d'informations du "monde réel" pour le fonctionnement des contrats intelligents. Cependant, un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". La responsabilité de l'oracle est simplement de consigner fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux.
Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Attaque d'oracle : L'attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, le faisant rapporter un prix erroné.
Manipulation du marché : les attaquants manipulent le marché externe par des opérations réelles, poussant délibérément les prix à la hausse ou à la baisse, tandis que l'oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché "manipulé". Le protocole on-chain n'a pas été piraté, mais a produit une réaction inattendue en raison de "l'empoisonnement d'information".
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs à faible volume de transactions, même de petits ordres peuvent provoquer de fortes fluctuations de prix, offrant ainsi une opportunité aux manipulateurs.
Détails du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des objectifs : filtrer les jetons cibles à faible liquidité et facilement manipulables.
Collecte de fonds : obtenir des fonds temporaires massifs par des moyens tels que les "prêts éclair".
Marché au comptant en cas d'urgence : passer simultanément un grand nombre d'ordres d'achat sur tous les échanges surveillés par l'oracle en un temps très court.
Pollution des oracles : Les oracles lisent les prix des échanges manipulés, ce qui entraîne une contamination sévère des prix index.
Infection du prix de marque : le prix d'indice contaminé entre sur la plateforme de dérivés, affectant le calcul du prix de marque. Le moteur de liquidation juge à tort la fourchette de risque, déclenchant une "liquidation" à grande échelle.
Les attaquants peuvent calculer avec précision combien de fonds investir dans chaque échange ayant la liquidité la plus faible, en se basant sur les informations publiques de la plateforme concernant le mécanisme d'oracle, le poids des sources de données, et la fréquence de mise à jour des prix, afin de distordre au maximum l'indice pondéré final. Ce "travail algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Troisième partie : Zone de chasse - Analyse des risques structurels d'une plateforme de trading
3.1 HLP Trésorerie : Market makers et contreparties de liquidation démocratisés
L'une des innovations clés d'une plateforme de trading est son coffre-fort HLP - un pool de fonds géré de manière unifiée par le protocole, portant une double fonction.
HLP agit en tant que teneur de marché actif pour la plateforme, permettant aux utilisateurs de la communauté de déposer des USDC dans le trésor et de participer à la stratégie de teneur de marché automatisée de la plateforme. Ce mécanisme de tenue de marché "démocratisé" permet à HLP de fournir en continu des carnets d'ordres pour de nombreuses altcoins en manque de liquidité.
Cependant, le HLP joue également le rôle de "soutien à la liquidation stop-loss" de la plateforme, c'est-à-dire la contrepartie de liquidation finale. Lorsque des positions à effet de levier sont liquidées de force et qu'il n'y a pas suffisamment de liquidateurs sur le marché prêts à prendre le relais, le protocole transfère automatiquement ces positions à haut risque au trésor HLP, et ce, au prix indiqué par l'oracle.
Ce mécanisme transforme le HLP en une entité de reprise qui peut être exploitée de manière déterministe, sans aucune capacité de jugement autonome. L'attaquant, lors du déploiement de la stratégie, peut entièrement prédire que sa "position toxique" une fois déclenchée, sera reprise par qui - pas un contrepartie aléatoire et imprévisible sur le marché, mais un système automatisé qui exécute la logique des contrats intelligents, agissant à 100 % selon les règles : le vault HLP.
3.2 Défauts structurels du mécanisme de liquidation
L'événement Jelly-My-Jelly a révélé une faille mortelle de la plateforme dans des conditions de marché extrêmes, qui trouve son origine dans la structure de financement et le modèle de liquidation du trésor HLP.
Lors d'une attaque, il n'y a pas de mécanisme de séparation strict entre le "pool de réserve de liquidation" chargé de traiter les positions liquidées et les pools de fonds exécutant d'autres stratégies de market making, etc. Ils partagent le même collatéral. Lorsque la position short d'une valeur de 4 millions de dollars de l'attaquant a été liquidée en raison d'une montée en flèche du prix de marque, cette position a été entièrement transférée au pool de réserve de liquidation. Alors que le prix de JELLY continue d'augmenter, les pertes de cette position continuent de s'élargir.
L'attaquant n'a besoin que de déclencher la liquidation (réduction active de la marge) pour "transférer sans couture" sa position déficitaire au preneur de risque dans le système - le coffre HLP. L'attaquant sait pertinemment : les règles du protocole obligent le HLP à réaliser le rachat au moment le moins favorable du prix, devenant ainsi son "acheteur inconditionnel".
En théorie, lorsque la perte d'une position devient si importante qu'elle menace la stabilité du système de la plateforme, un mécanisme de réduction automatique des positions ADL devrait être déclenché automatiquement, forçant les utilisateurs dont la direction est opposée à celle des bénéfices à réduire leurs positions pour répartir le risque. Mais cette fois-ci, l'ADL ne s'est pas activé.
La raison en est que : bien que le pool de réserve de liquidation soit lui-même en profonde perte, il peut faire appel aux actifs de garantie des autres pools de stratégie dans l'ensemble du coffre HLP, le système jugeant que la "santé globale" de l'ensemble du coffre HLP reste bonne, ce qui n'a pas déclenché le mécanisme de gestion des risques. Cette conception de mécanisme de garantie partagée a contourné par inadvertance la ligne de défense contre le risque systémique ADL, provoquant finalement une perte qui aurait dû être supportée par l'ensemble du marché, concentrée dans le coffre HLP.
Quatrième partie : Analyse de cas - Revue complète de l'attaque Jelly-My-Jelly
4.1 Étape 1 : Mise en place - Piège à short d'une valeur de 4 millions de dollars
Le 26 mars 2025, alors que le prix au comptant de JELLY fluctue autour de 0,0095 USD, les attaquants commencent à mettre en œuvre la première phase. Plusieurs adresses de portefeuille sont impliquées, dont l'adresse 0xde96 qui est l'exécutant clé. Les attaquants ont construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des Futures Perpétuel de JELLY par le biais de transactions auto-exécutées, accompagnées d'une position longue totale de 3 millions de dollars. L'objectif de ces transactions de couverture est de maximiser l'OI des contrats ouverts tout en évitant de provoquer des fluctuations anormales du marché, établissant ainsi une base pour une manipulation des prix et une liquidation ultérieure.
4.2 Étape 2 : Raid - Blitz sur le marché au comptant
Une fois la mise en page terminée, l'attaque entre dans la deuxième phase : faire rapidement monter le prix au comptant. La capitalisation boursière de JELLY n'est que d'environ 15 millions de dollars, et le carnet de commandes sur les échanges majeurs est extrêmement faible. Selon les données, sa profondeur de marché à 1 % n'est que de 72 000 dollars, bien en dessous de celle d'autres jetons similaires.
Des attaquants ont profité de cela pour lancer une offensive d'achat simultanément sur plusieurs échanges. En raison du manque de soutien des ventes, le prix au comptant de JELLY a été rapidement porté à la hausse en peu de temps. À partir de 0,008 USD, le prix a grimpé de plus de 500 % en moins d'une heure, atteignant un pic de 0,0517 USD. Parallèlement, le volume des transactions a également explosé. Sur un seul échange, le volume de transactions de JELLY a dépassé 150 millions USD ce jour-là, établissant un nouveau record historique.
4.3 Phase trois : Déclenchement - Pollution des oracles et cascade de liquidation
La forte hausse du prix au comptant se propage rapidement vers le système de prix de marque de cette plateforme de trading. En raison d'actions synchronisées des attaquants à ces sources clés, le prix indiciel agrégé est finalement contaminé, entraînant une hausse synchronisée du prix de marque au sein de la plateforme.
La montée soudaine du prix de marque a directement déclenché la position courte que l'attaquant avait précédemment déployée. Alors que les pertes s'aggravaient, cette position d'une valeur de 4 millions de dollars a déclenché une liquidation forcée. Ce n'est pas un échec de l'attaque à ce moment-là, mais plutôt un élément central de la conception de l'attaque.
En raison du fait que le portefeuille HLP agit en tant que contrepartie de liquidation de la plateforme, il reprend sans condition selon la logique des contrats intelligents, et que le système de liquidation n'a pas réussi à déclencher le mécanisme ADL pour répartir les risques, l'ensemble des positions à haut risque est directement transféré au HLP. En d'autres termes, l'attaquant a réussi à "socialiser" ses pertes de liquidation, faisant payer aux fournisseurs de liquidité du HLP les conséquences de ses manipulations.
4.4 Étape quatre : Répliques - Retrait d'urgence et réflexion sur le marché
Alors que cette plateforme de trading était en désordre, le marché extérieur a également réagi de manière complexe. Dans l'heure qui a suivi la manipulation de JELLY à un niveau élevé, d'autres échanges majeurs ont presque simultanément lancé les Futures Perpétuel de JELLY. Le marché interprète généralement ce comportement comme un "profitant du feu" contre les concurrents, aggravant ainsi la volatilité du marché de JELLY, élargissant indirectement H.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
6
Reposter
Partager
Commentaire
0/400
AirdropHarvester
· 08-19 05:52
prendre les gens pour des idiots ! prix de marque qui maîtrise qui est le père
Voir l'originalRépondre0
PerennialLeek
· 08-18 22:47
Des jetons ont encore été anéantis.
Voir l'originalRépondre0
NFT_Therapy
· 08-16 14:46
Un autre se fait prendre pour des cons.
Voir l'originalRépondre0
fren.eth
· 08-16 14:42
Encore la vieille méthode, je suis fatigué de la voir.
Voir l'originalRépondre0
OnChainSleuth
· 08-16 14:29
C'est fini. La sécurité est toujours sur le papier.
Voir l'originalRépondre0
FlatTax
· 08-16 14:28
Ceux qui jouent aux Futures Perpétuel sont des machines à prendre les gens pour des idiots.
Les risques du marché des Futures Perpétuel : analyse de la manipulation du prix de marque et des risques liés au coffre-fort HLP.
Quand le prix de marque devient une arme : analyse des risques systémiques sur le marché des Futures Perpétuel
En mars 2025, un token peu connu, JELLY, avec un volume de transactions quotidiennes de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme d'échange. Ce n'était pas une attaque de hacker traditionnelle, mais une "attaque de conformité" sur les règles du système. L'attaquant a exploité la logique de calcul, les processus algorithmiques et les mécanismes de gestion des risques publiés par la plateforme, créant une "attaque sans code" extrêmement destructrice pour le marché et les traders. Le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sûr" pour le marché, est devenu une arme fatale dans cet événement.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme perpétuels des altcoins et effectuera un examen détaillé de l'incident d'attaque Jelly-My-Jelly. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidités innovants, mais a également exposé l'asymétrie interne de la logique de liquidation dominante actuelle en matière de protection des fonds des utilisateurs en cas de conditions extrêmes sur le marché.
Première partie : le paradoxe central des Futures Perpétuel - le biais du mécanisme de liquidation dû à un faux sentiment de sécurité
1.1 prix de marque : une tendance de liquidation résultant d'un jeu de consensus jugé sûr
Le principe central du prix de marque repose sur un mécanisme à trois valeurs construit autour du "prix index". Le prix index est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot majeures. Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix négocié)
L'introduction de la médiane vise à éliminer les valeurs aberrantes et à améliorer la stabilité des prix. Toutefois, la sécurité de ce design repose entièrement sur l'hypothèse que le nombre de sources de données d'entrée est suffisant, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière conjointe.
Cependant, dans la réalité, le marché au comptant de la grande majorité des altcoins est extrêmement faible. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque grâce à une formule. Cette attaque peut déclencher des liquidations à effet de levier à grande échelle à un coût minimal, provoquant un effet domino.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi sa lame.
Le critère de déclenchement central du moteur de liquidation est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint la ligne de liquidation, dès que ce "prix de marque" "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est encore plus important de faire attention au mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation plutôt conservateurs afin d'éviter le risque de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix d'effondrement réel des pertes, la plateforme ne rembourse généralement pas cette partie du "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour se couvrir contre leurs propres risques, les plateformes ajustent la ligne de liquidation de manière plus conservatrice, ce qui rend plus probable que les positions soient "liquidées à l'avance" lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage des intérêts entre la plateforme et les traders lors de conditions de marché extrêmes.
1.3 L'expiration du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance de l'aversion à la perte sur la plateforme, la forte volatilité des prix des indices et des prix de marque aggrave encore le déplacement (ou le recul) des liquidations forcées.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut être valide lorsqu'elle est appliquée à des actifs grand public avec une liquidité abondante, mais son efficacité sera confrontée à des défis sérieux lorsqu'il s'agit de cryptomonnaies à faible liquidité et à des lieux de négociation concentrés.
Pour la grande majorité des altcoins, la profondeur des échanges et le nombre d'échanges listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données". Ainsi, le sentiment de sécurité apporté par les "indices multi-sources" revendiqués par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Souvent, le dernier prix de transaction est équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles - Quand la liquidité au comptant s'épuise et devient une arme
2.1 Oracle : un pont fragile reliant on-chain et off-chain
Un oracle de prix est un système de middleware chargé de transmettre des données off-chain de manière sécurisée et fiable sur la chaîne, fournissant des entrées d'informations du "monde réel" pour le fonctionnement des contrats intelligents. Cependant, un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". La responsabilité de l'oracle est simplement de consigner fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux.
Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Attaque d'oracle : L'attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, le faisant rapporter un prix erroné.
Manipulation du marché : les attaquants manipulent le marché externe par des opérations réelles, poussant délibérément les prix à la hausse ou à la baisse, tandis que l'oracle fonctionnant normalement enregistre et rapporte fidèlement ce prix de marché "manipulé". Le protocole on-chain n'a pas été piraté, mais a produit une réaction inattendue en raison de "l'empoisonnement d'information".
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs à faible volume de transactions, même de petits ordres peuvent provoquer de fortes fluctuations de prix, offrant ainsi une opportunité aux manipulateurs.
Détails du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des objectifs : filtrer les jetons cibles à faible liquidité et facilement manipulables.
Collecte de fonds : obtenir des fonds temporaires massifs par des moyens tels que les "prêts éclair".
Marché au comptant en cas d'urgence : passer simultanément un grand nombre d'ordres d'achat sur tous les échanges surveillés par l'oracle en un temps très court.
Pollution des oracles : Les oracles lisent les prix des échanges manipulés, ce qui entraîne une contamination sévère des prix index.
Infection du prix de marque : le prix d'indice contaminé entre sur la plateforme de dérivés, affectant le calcul du prix de marque. Le moteur de liquidation juge à tort la fourchette de risque, déclenchant une "liquidation" à grande échelle.
Les attaquants peuvent calculer avec précision combien de fonds investir dans chaque échange ayant la liquidité la plus faible, en se basant sur les informations publiques de la plateforme concernant le mécanisme d'oracle, le poids des sources de données, et la fréquence de mise à jour des prix, afin de distordre au maximum l'indice pondéré final. Ce "travail algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Troisième partie : Zone de chasse - Analyse des risques structurels d'une plateforme de trading
3.1 HLP Trésorerie : Market makers et contreparties de liquidation démocratisés
L'une des innovations clés d'une plateforme de trading est son coffre-fort HLP - un pool de fonds géré de manière unifiée par le protocole, portant une double fonction.
HLP agit en tant que teneur de marché actif pour la plateforme, permettant aux utilisateurs de la communauté de déposer des USDC dans le trésor et de participer à la stratégie de teneur de marché automatisée de la plateforme. Ce mécanisme de tenue de marché "démocratisé" permet à HLP de fournir en continu des carnets d'ordres pour de nombreuses altcoins en manque de liquidité.
Cependant, le HLP joue également le rôle de "soutien à la liquidation stop-loss" de la plateforme, c'est-à-dire la contrepartie de liquidation finale. Lorsque des positions à effet de levier sont liquidées de force et qu'il n'y a pas suffisamment de liquidateurs sur le marché prêts à prendre le relais, le protocole transfère automatiquement ces positions à haut risque au trésor HLP, et ce, au prix indiqué par l'oracle.
Ce mécanisme transforme le HLP en une entité de reprise qui peut être exploitée de manière déterministe, sans aucune capacité de jugement autonome. L'attaquant, lors du déploiement de la stratégie, peut entièrement prédire que sa "position toxique" une fois déclenchée, sera reprise par qui - pas un contrepartie aléatoire et imprévisible sur le marché, mais un système automatisé qui exécute la logique des contrats intelligents, agissant à 100 % selon les règles : le vault HLP.
3.2 Défauts structurels du mécanisme de liquidation
L'événement Jelly-My-Jelly a révélé une faille mortelle de la plateforme dans des conditions de marché extrêmes, qui trouve son origine dans la structure de financement et le modèle de liquidation du trésor HLP.
Lors d'une attaque, il n'y a pas de mécanisme de séparation strict entre le "pool de réserve de liquidation" chargé de traiter les positions liquidées et les pools de fonds exécutant d'autres stratégies de market making, etc. Ils partagent le même collatéral. Lorsque la position short d'une valeur de 4 millions de dollars de l'attaquant a été liquidée en raison d'une montée en flèche du prix de marque, cette position a été entièrement transférée au pool de réserve de liquidation. Alors que le prix de JELLY continue d'augmenter, les pertes de cette position continuent de s'élargir.
L'attaquant n'a besoin que de déclencher la liquidation (réduction active de la marge) pour "transférer sans couture" sa position déficitaire au preneur de risque dans le système - le coffre HLP. L'attaquant sait pertinemment : les règles du protocole obligent le HLP à réaliser le rachat au moment le moins favorable du prix, devenant ainsi son "acheteur inconditionnel".
En théorie, lorsque la perte d'une position devient si importante qu'elle menace la stabilité du système de la plateforme, un mécanisme de réduction automatique des positions ADL devrait être déclenché automatiquement, forçant les utilisateurs dont la direction est opposée à celle des bénéfices à réduire leurs positions pour répartir le risque. Mais cette fois-ci, l'ADL ne s'est pas activé.
La raison en est que : bien que le pool de réserve de liquidation soit lui-même en profonde perte, il peut faire appel aux actifs de garantie des autres pools de stratégie dans l'ensemble du coffre HLP, le système jugeant que la "santé globale" de l'ensemble du coffre HLP reste bonne, ce qui n'a pas déclenché le mécanisme de gestion des risques. Cette conception de mécanisme de garantie partagée a contourné par inadvertance la ligne de défense contre le risque systémique ADL, provoquant finalement une perte qui aurait dû être supportée par l'ensemble du marché, concentrée dans le coffre HLP.
Quatrième partie : Analyse de cas - Revue complète de l'attaque Jelly-My-Jelly
4.1 Étape 1 : Mise en place - Piège à short d'une valeur de 4 millions de dollars
Le 26 mars 2025, alors que le prix au comptant de JELLY fluctue autour de 0,0095 USD, les attaquants commencent à mettre en œuvre la première phase. Plusieurs adresses de portefeuille sont impliquées, dont l'adresse 0xde96 qui est l'exécutant clé. Les attaquants ont construit une position courte d'une valeur d'environ 4 millions de dollars sur le marché des Futures Perpétuel de JELLY par le biais de transactions auto-exécutées, accompagnées d'une position longue totale de 3 millions de dollars. L'objectif de ces transactions de couverture est de maximiser l'OI des contrats ouverts tout en évitant de provoquer des fluctuations anormales du marché, établissant ainsi une base pour une manipulation des prix et une liquidation ultérieure.
4.2 Étape 2 : Raid - Blitz sur le marché au comptant
Une fois la mise en page terminée, l'attaque entre dans la deuxième phase : faire rapidement monter le prix au comptant. La capitalisation boursière de JELLY n'est que d'environ 15 millions de dollars, et le carnet de commandes sur les échanges majeurs est extrêmement faible. Selon les données, sa profondeur de marché à 1 % n'est que de 72 000 dollars, bien en dessous de celle d'autres jetons similaires.
Des attaquants ont profité de cela pour lancer une offensive d'achat simultanément sur plusieurs échanges. En raison du manque de soutien des ventes, le prix au comptant de JELLY a été rapidement porté à la hausse en peu de temps. À partir de 0,008 USD, le prix a grimpé de plus de 500 % en moins d'une heure, atteignant un pic de 0,0517 USD. Parallèlement, le volume des transactions a également explosé. Sur un seul échange, le volume de transactions de JELLY a dépassé 150 millions USD ce jour-là, établissant un nouveau record historique.
4.3 Phase trois : Déclenchement - Pollution des oracles et cascade de liquidation
La forte hausse du prix au comptant se propage rapidement vers le système de prix de marque de cette plateforme de trading. En raison d'actions synchronisées des attaquants à ces sources clés, le prix indiciel agrégé est finalement contaminé, entraînant une hausse synchronisée du prix de marque au sein de la plateforme.
La montée soudaine du prix de marque a directement déclenché la position courte que l'attaquant avait précédemment déployée. Alors que les pertes s'aggravaient, cette position d'une valeur de 4 millions de dollars a déclenché une liquidation forcée. Ce n'est pas un échec de l'attaque à ce moment-là, mais plutôt un élément central de la conception de l'attaque.
En raison du fait que le portefeuille HLP agit en tant que contrepartie de liquidation de la plateforme, il reprend sans condition selon la logique des contrats intelligents, et que le système de liquidation n'a pas réussi à déclencher le mécanisme ADL pour répartir les risques, l'ensemble des positions à haut risque est directement transféré au HLP. En d'autres termes, l'attaquant a réussi à "socialiser" ses pertes de liquidation, faisant payer aux fournisseurs de liquidité du HLP les conséquences de ses manipulations.
4.4 Étape quatre : Répliques - Retrait d'urgence et réflexion sur le marché
Alors que cette plateforme de trading était en désordre, le marché extérieur a également réagi de manière complexe. Dans l'heure qui a suivi la manipulation de JELLY à un niveau élevé, d'autres échanges majeurs ont presque simultanément lancé les Futures Perpétuel de JELLY. Le marché interprète généralement ce comportement comme un "profitant du feu" contre les concurrents, aggravant ainsi la volatilité du marché de JELLY, élargissant indirectement H.