當標記價格成爲武器：解析永續合約市場的系統性風險

2025年3月，一個日交易額不足200萬美元的冷門代幣JELLY，在某交易平台上引發了一場千萬美元級別的清算風暴。這並非傳統的黑客攻擊，而是一場對系統規則的"合規性攻擊"。攻擊者利用平台公開的計算邏輯、算法流程與風控機制，制造了一場對市場和交易者都極具殺傷力的"無代碼攻擊"。本應作爲市場"中立與安全"之錨的標記價格，在這一事件中從護盾變成了利刃。

本文將深入分析山寨幣永續合約市場中標記價格機制的系統性風險，並對Jelly-My-Jelly攻擊事件進行詳盡復盤。該事件不僅揭示了預言機設計的結構性脆弱、創新型流動性池的雙刃劍屬性，更暴露了當前主流清算邏輯在極端行情下對用戶資金保護的內在不對稱性。

第一部分：永續合約的核心悖論 - 虛假安全感帶來的清算機制傾斜

1.1 標記價格：一場誤以爲安全的共識遊戲帶來的清算傾向性

標記價格的核心原則是圍繞"指數價格"構建的三值中位機制。指數價格通過加權平均多個主流現貨平台上該資產的價格計算得出。一個典型的標記價格計算方式如下：

Mark Price = Median (Price1, Price2, Last Traded Price)

中位數的引入本意是剔除異常值、提升價格穩定性。但這一設計的安全性完全建立在輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱的假設之上。

然而，在現實中，絕大多數山寨幣的現貨市場極其薄弱。一旦攻擊者能夠控制幾個低流動性平台的價格，即可"污染"指數價格，從而將惡意數據通過公式合法地注入標記價格。這種攻擊能以最小的成本撬動大規模的槓杆清算，引發連鎖反應。

1.2 清算引擎：平台的盾，也是刃

清算引擎的核心觸發標準是標記價格，而非平台自身的最新成交價。這意味着，即便當前市場成交價尚未觸及清算線，只要那個"看不見"的標記價格達到了，清算就會立刻觸發。

更值得警惕的是"強制平倉"機制。許多交易所爲了避免穿倉風險，採用偏保守的清算參數。當觸發強平後，即便平倉價格優於實際虧損歸零的價格，平台也通常不會返還這部分"強平盈餘"，而是將其直接注入平台的保險基金。

這種機制在流動性低的資產中尤爲常見。平台爲了自身的風險對沖，會將清算線調得更保守，也就更容易讓倉位在價格波動中被"提前平掉"。其邏輯是合理的，但結果卻使得平台和交易者在極端行情下的利益立場產生微妙錯位。

1.3 標記價格的失效導致清算引擎的失真

在平台厭惡損失的傾向性下，指數價格、標記價格劇烈的波動進一步加劇了這種強制平倉的前（後）移。

標記價格的理論通過聚合多源數據和中位數算法來提供一個公平、抗操縱的價格基準。然而，這一理論在應用於流動性充裕的主流資產時或許成立，但在面對流動性稀薄、交易場所集中的山寨幣時，其有效性將面臨嚴峻挑戰。

對於絕大多數山寨幣而言，其交易深度和上市交易所數量都非常有限，這使得它們的價格指數極易落入"小數據集"的陷阱。因此，交易所聲稱的"多源指數"所帶來的安全感，在山寨幣的世界裏往往只是一種幻覺。很多時候，最新成交價往往與標記價格劃上等號。

第二部分：預言機困境 - 當現貨流動性枯竭成爲武器

2.1 預言機：連接鏈上與鏈下的脆弱橋梁

價格預言機是一個中間件系統，負責將鏈下數據安全、可信地傳輸至鏈上，爲智能合約的運作提供"現實世界"的信息輸入。然而，一個"誠實"的預言機，並不意味着它報告的是"合理"的價格。預言機的職責僅是如實記錄其所能觀察到的外部世界狀態，它不判斷價格是否偏離基本面。

這一特性揭示了兩類截然不同的攻擊路徑：

1. 預言機攻擊：攻擊者通過技術手段篡改預言機數據源或協議，使其報告錯誤價格。

2. 市場操縱：攻擊者通過實際操作外部市場，刻意拉動或壓低價格，而正常工作的預言機則如實記錄並上報這個"被操控"的市場價格。鏈上協議並未被入侵，卻因"信息中毒"而產生非預期反應。

2.2 攻擊的支點：當流動性缺陷成爲武器

這類攻擊的核心，在於利用目標資產在現貨市場上的流動性劣勢。對於交易稀薄的資產，即便是小額訂單也可能引起價格劇烈波動，從而爲操縱者提供可乘之機。

攻擊路徑詳解：五步擊穿協議防線

1. 目標選擇：篩選流動性薄弱、易操縱的目標代幣。

2. 資本籌集：通過"閃電貸"等方式獲取臨時巨額資金。

3. 現貨市場閃擊：在極短時間內，在所有被預言機監控的交易所同步下達大量買單。

4. 預言機污染：預言機從被操縱的交易所中讀取價格，得出的指數價格被嚴重污染。

5. 標記價格感染：受污染的指數價格進入衍生品平台，影響標記價格計算。清算引擎誤判風險區間，觸發大規模"清算"。

攻擊者可以根據平台公開的預言機機制、數據來源權重、價格刷新頻率等信息，精準計算在每一個流動性最弱的交易所投入多少資金，即可最大程度扭曲最終的加權指數。這種"算法工程"讓攻擊變得可控、可預測、成本最小化。

第三部分：獵殺場 - 某交易平台的結構性風險剖析

3.1 HLP金庫：民主化的做市商與清算對手盤

某交易平台的核心創新之一是其HLP金庫 - 一個由協議統一管理、肩負雙重職能的資金池。

HLP充當平台的主動做市商，允許社區用戶將USDC存入金庫，參與平台的自動化做市策略。這套"民主化"做市機制，使HLP能夠爲衆多流動性匱乏的山寨幣持續提供買賣盤口。

然而，HLP同時還承擔着平台的"清算止損後盾"，即最後的清算對手方。當槓杆倉位被強制平倉，而市場中沒有足夠清算人願意接盤時，協議會自動將這些高風險倉位轉嫁給HLP金庫，而且是按照預言機的價格照單全收。

這種機制使HLP變成了一個可以被確定性利用的、完全沒有自主判斷能力的接盤實體。攻擊者在部署策略時，完全可以預測其"毒性倉位"一旦觸發清算，將由誰接盤 - 不是市場上隨機而不可預測的交易對手，而是一個執行智能合約邏輯、百分百按規則行事的自動化系統：HLP vault。

3.2 清算機制的結構性缺陷

Jelly-My-Jelly事件暴露了該平台在極端市場條件下的一個致命漏洞，其根源是HLP金庫內部的資金架構和清算模式。

在攻擊發生時，專責處理被清算倉位的"清算儲備池"與其他執行做市等策略的資金池之間，並無嚴格的隔離機制。它們共享同一筆抵押品。當攻擊者價值400萬美元的空頭倉位因標記價格飆升而被清算時，該倉位被完整轉移至清算儲備池。隨着JELLY的價格持續漲，這個倉位的虧損也持續擴大。

攻擊者只需觸發清算（主動降低保證金），即可將其虧損倉位"無縫"拋給系統內的接盤者 - HLP金庫。攻擊者深知：協議規則會強制HLP在價格最不利時刻執行接盤，成爲其"無條件買家"。

照理說，當倉位虧損巨大到威脅平台系統穩定性時，應該自動觸發自動減倉ADL機制，對盈利方向相反的用戶強制減倉，以分攤風險。但這一次，ADL沒有啓動。

原因在於：雖然清算儲備池自身已經陷入深度虧損，但由於它可以調用整個HLP金庫中其他策略池的抵押資產，系統判定整個HLP金庫"整體健康度"依然良好，因而沒有觸發風控機制。這種共享抵押機制的設計，意外繞過了ADL這一系統性風險防線，使本應由市場整體承擔的損失，最終集中爆發於HLP金庫之中。

第四部分：案例分析 - Jelly-My-Jelly攻擊的完整復盤

4.1 階段一：布局 - 價值400萬美元的空頭陷阱

2025年3月26日，JELLY的現貨價格在0.0095美元附近震蕩時，攻擊者開始實施第一階段。多個錢包地址參與其中，其中地址0xde96是關鍵執行者。攻擊者通過自我交易方式，在JELLY的永續合約市場上構建了一個價值約400萬美元的空頭頭寸，並輔以總計300萬美元的多頭對敲倉位。這種對敲交易的目的是最大限度地增加未平倉合約OI，同時避免引發市場異常波動，從而爲後續的價格操縱和清算誘導奠定基礎。

4.2 階段二：突襲 - 現貨市場的閃電戰

布局完成後，攻擊進入第二階段：迅速拉升現貨價格。JELLY總市值僅約1,500萬美元，在主流交易所的訂單簿極爲薄弱。據數據顯示，其1%市場深度僅爲7.2萬美元，遠低於其他同類代幣。

攻擊者利用這一點，在多個交易所同步發起買入攻勢。由於缺乏賣盤支撐，JELLY現貨價格在短時間內被迅速拉升。從0.008美元起漲，不到一小時價格飆升超500%，觸及0.0517美元的峯值。與此同時，交易量也爆炸性增長。僅某家交易所，JELLY當日成交額便突破1.5億美元，創下歷史新高。

4.3 階段三：引爆 - 預言機污染與清算瀑布

現貨價格的劇烈拉升迅速傳導至該交易平台的標記價格系統。由於攻擊者在這些關鍵源頭同步行動，最終聚合出的指數價格被有效污染，帶動平台內部的標記價格同步上升。

標記價格的跳漲直接引爆了攻擊者先前部署的空頭倉位。隨着虧損擴大，該價值400萬美元的頭寸觸發了強制清算。此刻並非攻擊失敗，而是攻擊設計的核心環節。

由於HLP金庫作爲平台的清算對手方，根據智能合約邏輯無條件接盤，而清算系統又未能觸發ADL機制分攤風險，整個高風險倉位直接壓向HLP。換言之，攻擊者成功地將自身的爆倉損失"轉嫁社會化"，讓HLP的流動性提供者爲其操控行爲埋單。

4.4 階段四：餘波 - 緊急下架與市場反思

該交易平台陷入混亂的同時，外部市場也出現了復雜反應。在JELLY被操縱至高位的一小時內，其他主流交易所幾乎同步上線了JELLY的永續合約。市場普遍解讀這一行爲爲對競爭對手的"趁火打劫"，進一步加劇JELLY的市場波動，間接擴大H