Quando o preço de marca se torna uma arma: Análise do risco sistêmico no mercado de Futuros Perpétuos
Em março de 2025, um token pouco conhecido chamado JELLY, com um volume diário de negociação inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação de dezenas de milhões de dólares em uma plataforma de negociação. Isso não foi um ataque de hacker tradicional, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica de cálculo, o fluxo algorítmico e os mecanismos de controle de risco abertos da plataforma para criar um "ataque sem código" que teve um impacto devastador tanto no mercado quanto nos traders. O preço de marca, que deveria servir como âncora de "neutralidade e segurança" do mercado, transformou-se de um escudo em uma lâmina afiada durante este evento.
Este artigo irá analisar em profundidade os riscos sistêmicos do mecanismo de preço de marca no mercado de Futuros Perpétuos de criptomoedas, e irá revisar detalhadamente o incidente de ataque Jelly-My-Jelly. Este evento não apenas revelou a fragilidade estrutural do design de oráculos, e a natureza de espada de dois gumes dos pools de liquidez inovadores, mas também expôs a assimetria interna da lógica de liquidação atual na proteção dos fundos dos usuários em condições de mercado extremas.
Primeira Parte: O Paradoxo Central dos Futuros Perpétuos - A Inclinação do Mecanismo de Liquidação Causada por uma Falsa Sensação de Segurança
1.1 preço de marca:uma tendência de liquidação provocada por um jogo de consenso erroneamente considerado seguro
O princípio central do preço de marca é construído em torno de um mecanismo de mediana de três valores baseado no "preço índice". O preço índice é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot de referência. Uma forma típica de cálculo do preço de marca é a seguinte:
Preço de Marca = Mediana (Preço1, Preço2, Último Preço Negociado)
A introdução da mediana tem como objetivo eliminar valores anômalos e aumentar a estabilidade dos preços. No entanto, a segurança deste design baseia-se completamente na suposição de que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em conjunto.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que um atacante consegue controlar o preço de algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos no preço de marca de forma legítima através de fórmulas. Este tipo de ataque pode provocar liquidações em grande escala com custos mínimos, desencadeando uma reação em cadeia.
1.2 Motor de liquidação: o escudo da plataforma, mas também a lâmina
O padrão de acionamento central do motor de liquidação é o preço de marca, e não o último preço de negociação da própria plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido a linha de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será acionada imediatamente.
Ainda mais preocupante é o mecanismo de "liquidação forçada". Muitas bolsas adotam parâmetros de liquidação mais conservadores para evitar o risco de liquidação. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja melhor do que o preço real em que as perdas chegariam a zero, a plataforma geralmente não devolverá essa parte do "excedente da liquidação forçada", mas sim injetá-la diretamente no fundo de seguro da plataforma.
Este mecanismo é especialmente comum em ativos com baixa liquidez. As plataformas, para se protegerem contra riscos, ajustam a linha de liquidação de forma mais conservadora, o que facilita que as posições sejam "liquidadas antecipadamente" em meio a flutuações de preços. A lógica é razoável, mas o resultado causa uma ligeira desarmonia nos interesses das plataformas e dos traders em situações extremas.
1.3 A falha no preço de marca leva à distorção do motor de liquidação
Sob a tendência de aversão à perda da plataforma, a volatilidade acentuada do preço do índice e do preço de marca intensificou ainda mais o deslocamento antecipado (posterior) das liquidações forçadas.
A teoria do preço de marca fornece um benchmark de preço justo e resistente à manipulação ao agregar dados de múltiplas fontes e usar algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos principais com alta liquidez, mas sua eficácia enfrentará sérios desafios quando confrontada com altcoins de liquidez reduzida e mercados concentrados.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são muito limitados, o que faz com que o índice de preços caia facilmente na armadilha de um "pequeno conjunto de dados". Assim, a sensação de segurança proporcionada pelo "índice multi-fonte" reivindicado pelas bolsas muitas vezes não passa de uma ilusão no mundo das altcoins. Muitas vezes, o último preço de negociação é muitas vezes equivalente ao preço de marca.
Segunda Parte: O Dilema dos Oráculos - Quando a Liquidez Spot se Esvazia Torna-se uma Arma
2.1 Oráculo: a ponte frágil que conecta on-chain e off-chain
O oráculo de preços é um sistema de middleware responsável por transmitir dados off-chain de forma segura e confiável para on-chain, fornecendo entradas de informação do "mundo real" para a operação de contratos inteligentes. No entanto, um oráculo "honesto" não significa que ele reporta preços "razoáveis". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que pode observar, não avaliando se o preço se desvia dos fundamentos.
Esta característica revela dois tipos de caminhos de ataque completamente diferentes:
Ataque de oráculo: O atacante altera, por meio de técnicas, a fonte de dados ou o protocolo do oráculo, fazendo com que reporte um preço errado.
Manipulação de mercado: atacantes manipulam o mercado externo através de operações reais, deliberadamente elevando ou reduzindo os preços, enquanto oráculos funcionais registram e reportam o preço de mercado "manipulado". O protocolo em cadeia não foi invadido, mas reage de forma inesperada devido à "contaminação de informações".
2.2 Ponto de Ataque: Quando a Deficiência de Liquidez se Torna uma Arma
O núcleo deste tipo de ataque reside na utilização da desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca liquidez, mesmo ordens pequenas podem causar flutuações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
Análise do caminho de ataque: cinco passos para ultrapassar a linha de defesa do protocolo
Seleção de alvos: filtrar tokens-alvo com baixa liquidez e facilmente manipuláveis.
Angariação de capital: obter grandes quantias de fundos temporários através de "empréstimos relâmpago".
Ataque no mercado à vista: em um período muito curto, realizar uma grande quantidade de ordens de compra simultaneamente em todas as exchanges monitoradas pelo oráculo.
Poluição de Oráculos: Oráculos leem preços de exchanges manipuladas, resultando em preços indexados gravemente poluídos.
Preço de marca infectado: o preço do índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, acionando uma grande "liquidação".
Os atacantes podem calcular com precisão quanto capital investir em cada bolsa com menor liquidez, com base nas informações públicas da plataforma sobre o mecanismo do oráculo, o peso das fontes de dados, a frequência de atualização dos preços, etc., de modo a distorcer ao máximo o índice ponderado final. Esta "engenharia algorítmica" torna o ataque controlável, previsível e minimiza custos.
Terceira Parte: Campo de Caça - Análise dos Riscos Estruturais de uma Plataforma de Negociação
3.1 HLP Cofragem: Market makers e contraparte de liquidação democratizados
Uma das inovações centrais de uma plataforma de negociação é o seu cofre HLP - um pool de fundos gerido de forma unificada pelo protocolo, que desempenha uma dupla função.
O HLP atua como um market maker ativo da plataforma, permitindo que os usuários da comunidade depositem USDC no tesouro e participem da estratégia de market making automatizada da plataforma. Este mecanismo de market making "democratizado" permite que o HLP forneça continuamente cotações de compra e venda para muitas altcoins com falta de liquidez.
No entanto, o HLP também assume o papel de "backup de liquidação e stop loss" da plataforma, ou seja, a contraparte final da liquidação. Quando a posição alavancada é liquidada forçosamente e não há suficientes liquidadores dispostos a assumir, o protocolo automaticamente transfere essas posições de alto risco para o tesouro do HLP, e isso é feito de acordo com o preço do oráculo.
Este mecanismo transforma o HLP em uma entidade de absorção que pode ser utilizada de forma determinística, sem qualquer capacidade de julgamento próprio. O atacante, ao implementar a estratégia, pode prever completamente quem irá assumir sua "posição tóxica" assim que for acionada a liquidação - não um contraparte aleatório e imprevisível no mercado, mas sim um sistema automatizado que executa a lógica de contratos inteligentes e atua 100% de acordo com as regras: o cofre HLP.
3.2 Defeitos estruturais no mecanismo de liquidação
O incidente Jelly-My-Jelly expôs uma falha fatal na plataforma sob condições de mercado extremas, cuja raiz está na estrutura de financiamento e no modelo de liquidação do cofre HLP.
Durante o ataque, não havia um mecanismo de isolamento rigoroso entre a "piscina de reserva de liquidação" responsável pelo tratamento das posições liquidadas e outras piscinas de fundos que executam estratégias de market making, etc. Elas compartilham a mesma garantia. Quando a posição vendida do atacante, no valor de 4 milhões de dólares, foi liquidada devido à disparada do preço de marca, essa posição foi completamente transferida para a piscina de reserva de liquidação. Com o preço do JELLY a continuar a subir, as perdas dessa posição também continuaram a aumentar.
O atacante só precisa acionar a liquidação (reduzir ativamente a margem) para transferir sua posição de perda "sem costura" para os compradores dentro do sistema - o cofre HLP. O atacante sabe bem: as regras do protocolo obrigarão o HLP a executar a compra no momento mais desfavorável do preço, tornando-se seu "comprador incondicional".
Deveria ser assim, quando a posição está em uma grande perda que ameaça a estabilidade do sistema da plataforma, deve ser acionado automaticamente o mecanismo de redução automática de posição ADL, forçando os usuários que estão na direção oposta a reduzir suas posições, a fim de compartilhar o risco. Mas desta vez, o ADL não foi acionado.
A razão é que: embora o fundo de reserva de liquidação tenha entrado em profunda perda, ele pode chamar os ativos de garantia de outros fundos estratégicos no cofre HLP, e o sistema determina que a "saúde geral" de todo o cofre HLP ainda é boa, portanto, não acionou o mecanismo de controle de risco. Este design de mecanismo de garantia compartilhada contornou inadvertidamente a linha de defesa de risco sistêmico ADL, fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo acabassem se concentrando no cofre HLP.
Quarta Parte: Análise de Caso - Revisão Completa do Ataque Jelly-My-Jelly
Fase 1: Disposição - Armadilha de venda no valor de 4 milhões de dólares
Em 26 de março de 2025, enquanto o preço à vista do JELLY flutuava em torno de 0,0095 dólares, os atacantes começaram a implementar a primeira fase. Vários endereços de carteira participaram, sendo o endereço 0xde96 o executor chave. Os atacantes, por meio de auto-negociação, construíram uma posição vendida de aproximadamente 4 milhões de dólares no mercado de Futuros Perpétuos do JELLY, complementada por um total de 3 milhões de dólares em posições compradas de contra-negociação. O objetivo dessa negociação de contra-negociação era maximizar o OI de contratos em aberto, ao mesmo tempo em que evitava desencadear flutuações anômalas no mercado, estabelecendo assim a base para a manipulação de preços e indução de liquidações subsequentes.
4.2 Fase Dois: Ataque - Guerra Relâmpago no Mercado Spot
Após a conclusão do layout, o ataque entra na segunda fase: elevar rapidamente o preço à vista. O valor de mercado total do JELLY é de cerca de 15 milhões de dólares, e o livro de ordens nas trocas principais é extremamente fraco. De acordo com os dados, sua profundidade de mercado de 1% é de apenas 72 mil dólares, muito abaixo de outros tokens semelhantes.
Os atacantes aproveitaram esta situação para lançar um ataque de compra sincronizado em várias exchanges. Devido à falta de suporte de vendas, o preço à vista do JELLY foi rapidamente elevado em um curto período de tempo. Começando em 0,008 dólares, em menos de uma hora o preço disparou mais de 500%, atingindo um pico de 0,0517 dólares. Ao mesmo tempo, o volume de negociações também cresceu explosivamente. Apenas em uma exchange, o volume de negócios do JELLY naquele dia ultrapassou 150 milhões de dólares, estabelecendo um novo recorde histórico.
4.3 Fase Três: Explosão - Poluição do Oráculo e Cascata de Liquidação
A rápida elevação do preço à vista foi rapidamente transmitida ao sistema de preço de marca da plataforma de negociação. Devido à ação sincronizada dos atacantes nessas fontes-chave, o preço índice final agregado foi efetivamente contaminado, levando a um aumento sincronizado do preço de marca dentro da plataforma.
O salto repentino no preço de marca disparou as posições de venda a descoberto que os atacantes haviam implantado anteriormente. À medida que as perdas se ampliavam, a posição no valor de 4 milhões de dólares acionou a liquidação forçada. Este momento não é um fracasso do ataque, mas sim uma parte central do design do ataque.
Devido ao HLP como contraparte de liquidação da plataforma, que aceita incondicionalmente com base na lógica do contrato inteligente, e como o sistema de liquidação não conseguiu ativar o mecanismo ADL para distribuir o risco, toda a posição de alto risco foi diretamente pressionada para o HLP. Em outras palavras, o atacante conseguiu "transferir socialmente" suas perdas de liquidação, fazendo com que os provedores de liquidez do HLP arcassem com as consequências de suas ações.
4.4 Fase Quatro: Ondas Remanescentes - Retirada de Emergência e Reflexão do Mercado
Enquanto a plataforma de negociação estava em caos, o mercado externo também apresentou reações complexas. Dentro de uma hora após o JELLY ter sido manipulado para um nível alto, quase todas as principais bolsas lançaram simultaneamente os Futuros Perpétuos de JELLY. O mercado interpretou amplamente esse comportamento como uma "aproveitar-se da situação" em relação aos concorrentes, exacerbando ainda mais a volatilidade do mercado de JELLY, ampliando indiretamente H.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
23 gostos
Recompensa
23
6
Republicar
Partilhar
Comentar
0/400
AirdropHarvester
· 08-19 05:52
fazer as pessoas de parvas! preço de marca quem dominar é o pai
Ver originalResponder0
PerennialLeek
· 08-18 22:47
Bambu! Mais uma leva de pequenas moedas faleceram.
Ver originalResponder0
NFT_Therapy
· 08-16 14:46
Outro que vem fazer as pessoas de parvas
Ver originalResponder0
fren.eth
· 08-16 14:42
É a mesma operação de sempre, já estou cansado.
Ver originalResponder0
OnChainSleuth
· 08-16 14:29
Acabou. A segurança é sempre apenas teórica.
Ver originalResponder0
FlatTax
· 08-16 14:28
Quem joga Futuros Perpétuos são fazer as pessoas de parvas máquinas.
Riscos do mercado de Futuros Perpétuos: Análise da manipulação do preço de marca e dos riscos do cofre HLP
Quando o preço de marca se torna uma arma: Análise do risco sistêmico no mercado de Futuros Perpétuos
Em março de 2025, um token pouco conhecido chamado JELLY, com um volume diário de negociação inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação de dezenas de milhões de dólares em uma plataforma de negociação. Isso não foi um ataque de hacker tradicional, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica de cálculo, o fluxo algorítmico e os mecanismos de controle de risco abertos da plataforma para criar um "ataque sem código" que teve um impacto devastador tanto no mercado quanto nos traders. O preço de marca, que deveria servir como âncora de "neutralidade e segurança" do mercado, transformou-se de um escudo em uma lâmina afiada durante este evento.
Este artigo irá analisar em profundidade os riscos sistêmicos do mecanismo de preço de marca no mercado de Futuros Perpétuos de criptomoedas, e irá revisar detalhadamente o incidente de ataque Jelly-My-Jelly. Este evento não apenas revelou a fragilidade estrutural do design de oráculos, e a natureza de espada de dois gumes dos pools de liquidez inovadores, mas também expôs a assimetria interna da lógica de liquidação atual na proteção dos fundos dos usuários em condições de mercado extremas.
Primeira Parte: O Paradoxo Central dos Futuros Perpétuos - A Inclinação do Mecanismo de Liquidação Causada por uma Falsa Sensação de Segurança
1.1 preço de marca:uma tendência de liquidação provocada por um jogo de consenso erroneamente considerado seguro
O princípio central do preço de marca é construído em torno de um mecanismo de mediana de três valores baseado no "preço índice". O preço índice é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot de referência. Uma forma típica de cálculo do preço de marca é a seguinte:
Preço de Marca = Mediana (Preço1, Preço2, Último Preço Negociado)
A introdução da mediana tem como objetivo eliminar valores anômalos e aumentar a estabilidade dos preços. No entanto, a segurança deste design baseia-se completamente na suposição de que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em conjunto.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que um atacante consegue controlar o preço de algumas plataformas de baixa liquidez, pode "contaminar" o preço do índice, injetando dados maliciosos no preço de marca de forma legítima através de fórmulas. Este tipo de ataque pode provocar liquidações em grande escala com custos mínimos, desencadeando uma reação em cadeia.
1.2 Motor de liquidação: o escudo da plataforma, mas também a lâmina
O padrão de acionamento central do motor de liquidação é o preço de marca, e não o último preço de negociação da própria plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido a linha de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será acionada imediatamente.
Ainda mais preocupante é o mecanismo de "liquidação forçada". Muitas bolsas adotam parâmetros de liquidação mais conservadores para evitar o risco de liquidação. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja melhor do que o preço real em que as perdas chegariam a zero, a plataforma geralmente não devolverá essa parte do "excedente da liquidação forçada", mas sim injetá-la diretamente no fundo de seguro da plataforma.
Este mecanismo é especialmente comum em ativos com baixa liquidez. As plataformas, para se protegerem contra riscos, ajustam a linha de liquidação de forma mais conservadora, o que facilita que as posições sejam "liquidadas antecipadamente" em meio a flutuações de preços. A lógica é razoável, mas o resultado causa uma ligeira desarmonia nos interesses das plataformas e dos traders em situações extremas.
1.3 A falha no preço de marca leva à distorção do motor de liquidação
Sob a tendência de aversão à perda da plataforma, a volatilidade acentuada do preço do índice e do preço de marca intensificou ainda mais o deslocamento antecipado (posterior) das liquidações forçadas.
A teoria do preço de marca fornece um benchmark de preço justo e resistente à manipulação ao agregar dados de múltiplas fontes e usar algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos principais com alta liquidez, mas sua eficácia enfrentará sérios desafios quando confrontada com altcoins de liquidez reduzida e mercados concentrados.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são muito limitados, o que faz com que o índice de preços caia facilmente na armadilha de um "pequeno conjunto de dados". Assim, a sensação de segurança proporcionada pelo "índice multi-fonte" reivindicado pelas bolsas muitas vezes não passa de uma ilusão no mundo das altcoins. Muitas vezes, o último preço de negociação é muitas vezes equivalente ao preço de marca.
Segunda Parte: O Dilema dos Oráculos - Quando a Liquidez Spot se Esvazia Torna-se uma Arma
2.1 Oráculo: a ponte frágil que conecta on-chain e off-chain
O oráculo de preços é um sistema de middleware responsável por transmitir dados off-chain de forma segura e confiável para on-chain, fornecendo entradas de informação do "mundo real" para a operação de contratos inteligentes. No entanto, um oráculo "honesto" não significa que ele reporta preços "razoáveis". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que pode observar, não avaliando se o preço se desvia dos fundamentos.
Esta característica revela dois tipos de caminhos de ataque completamente diferentes:
Ataque de oráculo: O atacante altera, por meio de técnicas, a fonte de dados ou o protocolo do oráculo, fazendo com que reporte um preço errado.
Manipulação de mercado: atacantes manipulam o mercado externo através de operações reais, deliberadamente elevando ou reduzindo os preços, enquanto oráculos funcionais registram e reportam o preço de mercado "manipulado". O protocolo em cadeia não foi invadido, mas reage de forma inesperada devido à "contaminação de informações".
2.2 Ponto de Ataque: Quando a Deficiência de Liquidez se Torna uma Arma
O núcleo deste tipo de ataque reside na utilização da desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca liquidez, mesmo ordens pequenas podem causar flutuações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
Análise do caminho de ataque: cinco passos para ultrapassar a linha de defesa do protocolo
Seleção de alvos: filtrar tokens-alvo com baixa liquidez e facilmente manipuláveis.
Angariação de capital: obter grandes quantias de fundos temporários através de "empréstimos relâmpago".
Ataque no mercado à vista: em um período muito curto, realizar uma grande quantidade de ordens de compra simultaneamente em todas as exchanges monitoradas pelo oráculo.
Poluição de Oráculos: Oráculos leem preços de exchanges manipuladas, resultando em preços indexados gravemente poluídos.
Preço de marca infectado: o preço do índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, acionando uma grande "liquidação".
Os atacantes podem calcular com precisão quanto capital investir em cada bolsa com menor liquidez, com base nas informações públicas da plataforma sobre o mecanismo do oráculo, o peso das fontes de dados, a frequência de atualização dos preços, etc., de modo a distorcer ao máximo o índice ponderado final. Esta "engenharia algorítmica" torna o ataque controlável, previsível e minimiza custos.
Terceira Parte: Campo de Caça - Análise dos Riscos Estruturais de uma Plataforma de Negociação
3.1 HLP Cofragem: Market makers e contraparte de liquidação democratizados
Uma das inovações centrais de uma plataforma de negociação é o seu cofre HLP - um pool de fundos gerido de forma unificada pelo protocolo, que desempenha uma dupla função.
O HLP atua como um market maker ativo da plataforma, permitindo que os usuários da comunidade depositem USDC no tesouro e participem da estratégia de market making automatizada da plataforma. Este mecanismo de market making "democratizado" permite que o HLP forneça continuamente cotações de compra e venda para muitas altcoins com falta de liquidez.
No entanto, o HLP também assume o papel de "backup de liquidação e stop loss" da plataforma, ou seja, a contraparte final da liquidação. Quando a posição alavancada é liquidada forçosamente e não há suficientes liquidadores dispostos a assumir, o protocolo automaticamente transfere essas posições de alto risco para o tesouro do HLP, e isso é feito de acordo com o preço do oráculo.
Este mecanismo transforma o HLP em uma entidade de absorção que pode ser utilizada de forma determinística, sem qualquer capacidade de julgamento próprio. O atacante, ao implementar a estratégia, pode prever completamente quem irá assumir sua "posição tóxica" assim que for acionada a liquidação - não um contraparte aleatório e imprevisível no mercado, mas sim um sistema automatizado que executa a lógica de contratos inteligentes e atua 100% de acordo com as regras: o cofre HLP.
3.2 Defeitos estruturais no mecanismo de liquidação
O incidente Jelly-My-Jelly expôs uma falha fatal na plataforma sob condições de mercado extremas, cuja raiz está na estrutura de financiamento e no modelo de liquidação do cofre HLP.
Durante o ataque, não havia um mecanismo de isolamento rigoroso entre a "piscina de reserva de liquidação" responsável pelo tratamento das posições liquidadas e outras piscinas de fundos que executam estratégias de market making, etc. Elas compartilham a mesma garantia. Quando a posição vendida do atacante, no valor de 4 milhões de dólares, foi liquidada devido à disparada do preço de marca, essa posição foi completamente transferida para a piscina de reserva de liquidação. Com o preço do JELLY a continuar a subir, as perdas dessa posição também continuaram a aumentar.
O atacante só precisa acionar a liquidação (reduzir ativamente a margem) para transferir sua posição de perda "sem costura" para os compradores dentro do sistema - o cofre HLP. O atacante sabe bem: as regras do protocolo obrigarão o HLP a executar a compra no momento mais desfavorável do preço, tornando-se seu "comprador incondicional".
Deveria ser assim, quando a posição está em uma grande perda que ameaça a estabilidade do sistema da plataforma, deve ser acionado automaticamente o mecanismo de redução automática de posição ADL, forçando os usuários que estão na direção oposta a reduzir suas posições, a fim de compartilhar o risco. Mas desta vez, o ADL não foi acionado.
A razão é que: embora o fundo de reserva de liquidação tenha entrado em profunda perda, ele pode chamar os ativos de garantia de outros fundos estratégicos no cofre HLP, e o sistema determina que a "saúde geral" de todo o cofre HLP ainda é boa, portanto, não acionou o mecanismo de controle de risco. Este design de mecanismo de garantia compartilhada contornou inadvertidamente a linha de defesa de risco sistêmico ADL, fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo acabassem se concentrando no cofre HLP.
Quarta Parte: Análise de Caso - Revisão Completa do Ataque Jelly-My-Jelly
Fase 1: Disposição - Armadilha de venda no valor de 4 milhões de dólares
Em 26 de março de 2025, enquanto o preço à vista do JELLY flutuava em torno de 0,0095 dólares, os atacantes começaram a implementar a primeira fase. Vários endereços de carteira participaram, sendo o endereço 0xde96 o executor chave. Os atacantes, por meio de auto-negociação, construíram uma posição vendida de aproximadamente 4 milhões de dólares no mercado de Futuros Perpétuos do JELLY, complementada por um total de 3 milhões de dólares em posições compradas de contra-negociação. O objetivo dessa negociação de contra-negociação era maximizar o OI de contratos em aberto, ao mesmo tempo em que evitava desencadear flutuações anômalas no mercado, estabelecendo assim a base para a manipulação de preços e indução de liquidações subsequentes.
4.2 Fase Dois: Ataque - Guerra Relâmpago no Mercado Spot
Após a conclusão do layout, o ataque entra na segunda fase: elevar rapidamente o preço à vista. O valor de mercado total do JELLY é de cerca de 15 milhões de dólares, e o livro de ordens nas trocas principais é extremamente fraco. De acordo com os dados, sua profundidade de mercado de 1% é de apenas 72 mil dólares, muito abaixo de outros tokens semelhantes.
Os atacantes aproveitaram esta situação para lançar um ataque de compra sincronizado em várias exchanges. Devido à falta de suporte de vendas, o preço à vista do JELLY foi rapidamente elevado em um curto período de tempo. Começando em 0,008 dólares, em menos de uma hora o preço disparou mais de 500%, atingindo um pico de 0,0517 dólares. Ao mesmo tempo, o volume de negociações também cresceu explosivamente. Apenas em uma exchange, o volume de negócios do JELLY naquele dia ultrapassou 150 milhões de dólares, estabelecendo um novo recorde histórico.
4.3 Fase Três: Explosão - Poluição do Oráculo e Cascata de Liquidação
A rápida elevação do preço à vista foi rapidamente transmitida ao sistema de preço de marca da plataforma de negociação. Devido à ação sincronizada dos atacantes nessas fontes-chave, o preço índice final agregado foi efetivamente contaminado, levando a um aumento sincronizado do preço de marca dentro da plataforma.
O salto repentino no preço de marca disparou as posições de venda a descoberto que os atacantes haviam implantado anteriormente. À medida que as perdas se ampliavam, a posição no valor de 4 milhões de dólares acionou a liquidação forçada. Este momento não é um fracasso do ataque, mas sim uma parte central do design do ataque.
Devido ao HLP como contraparte de liquidação da plataforma, que aceita incondicionalmente com base na lógica do contrato inteligente, e como o sistema de liquidação não conseguiu ativar o mecanismo ADL para distribuir o risco, toda a posição de alto risco foi diretamente pressionada para o HLP. Em outras palavras, o atacante conseguiu "transferir socialmente" suas perdas de liquidação, fazendo com que os provedores de liquidez do HLP arcassem com as consequências de suas ações.
4.4 Fase Quatro: Ondas Remanescentes - Retirada de Emergência e Reflexão do Mercado
Enquanto a plataforma de negociação estava em caos, o mercado externo também apresentou reações complexas. Dentro de uma hora após o JELLY ter sido manipulado para um nível alto, quase todas as principais bolsas lançaram simultaneamente os Futuros Perpétuos de JELLY. O mercado interpretou amplamente esse comportamento como uma "aproveitar-se da situação" em relação aos concorrentes, exacerbando ainda mais a volatilidade do mercado de JELLY, ampliando indiretamente H.