Cuando los mensajeros leales se convierten en armas: la marca de precio desata la tormenta de liquidación de Hyperliquid
En marzo de 2025, un token poco conocido llamado JELLY, con un volumen de negociación diario inferior a 2 millones de dólares, provocó una tormenta de liquidación de decenas de millones de dólares en una plataforma de intercambio. Lo sorprendente es que los atacantes no alteraron el contrato inteligente ni aprovecharon vulnerabilidades de código tradicionales, sino que convirtieron el mecanismo de seguridad más fundamental de la plataforma: la marca de precio, en un arma.
Esto no fue un ataque de hackers, sino un "ataque de conformidad" a las reglas del sistema. Los atacantes aprovecharon la lógica de cálculo pública de la plataforma, los procesos algorítmicos y los mecanismos de control de riesgos, creando un "ataque sin código" que resultó extremadamente letal para el mercado y los operadores. El precio de marca, que debería haber sido un ancla de "neutralidad y seguridad" en el mercado, se convirtió en una espada en este incidente.
Este artículo analizará en profundidad, desde dos perspectivas teóricas y prácticas, los riesgos sistémicos del mecanismo de marca de precio en el mercado de contratos perpetuos de criptomonedas, y realizará un análisis detallado del evento de ataque Jelly-My-Jelly. Este evento no solo revela la vulnerabilidad estructural en el diseño de oráculos, y la naturaleza de doble filo de los pools de liquidez innovadores, sino que también expone la asimetría inherente en la protección de los fondos de los usuarios bajo la lógica de liquidación actual en condiciones extremas.
La paradoja central de los contratos perpetuos: el sesgo del mecanismo de liquidación que proporciona una falsa sensación de seguridad
marca de precio: una tendencia de liquidación provocada por un juego de consenso malinterpretado como seguro
Para entender cómo la marca de precio se convierte en un punto de ataque, primero debemos desglosar su lógica de construcción. Aunque los métodos de cálculo varían ligeramente entre los intercambios, su principio central es altamente consistente: un mecanismo de mediana de tres valores construido en torno al "precio índice".
El precio del índice es la piedra angular de la marca de precio. No proviene de la propia bolsa de derivados, sino que se calcula mediante un promedio ponderado de los precios de ese activo en múltiples plataformas de spot principales, con el objetivo de proporcionar un precio de referencia justo a través de plataformas y regiones.
Un método típico de cálculo de la marca de precio es el siguiente:
Marca de precio = Mediana (Precio1, Precio2, Último precio negociado)
Price1 = precio índice × (1 + diferencia de tasa de financiamiento ): ancla el precio del contrato al precio índice y considera las expectativas del mercado.
Price2 = precio índice + desviación media móvil: se utiliza para suavizar las anomalías de precios a corto plazo.
Last Traded Price = Precio de última negociación en la plataforma de derivados.
La introducción de la mediana tiene como objetivo eliminar los valores atípicos y mejorar la estabilidad de precios. Sin embargo, la seguridad de este diseño se basa completamente en una suposición clave: que la cantidad de fuentes de datos de entrada es suficiente, la distribución es razonable, la liquidez es fuerte y es difícil de manipular de manera colaborativa.
Sin embargo, en la realidad, el mercado spot de la gran mayoría de las altcoins es extremadamente débil. Una vez que un atacante puede controlar el precio en algunas plataformas de baja liquidez, puede "contaminar" el precio del índice, inyectando así datos maliciosos de manera legítima a través de la fórmula en la marca de precio. Este tipo de ataque puede provocar liquidaciones masivas de apalancamiento a un costo mínimo, desencadenando una reacción en cadena.
En otras palabras, el mecanismo de agregación tiene como objetivo dispersar el riesgo, pero en un mercado con poca liquidez, en realidad forma una "debilidad centralizada" controlable por los atacantes. Cuanto más enfatiza la plataforma de derivados la transparencia y previsibilidad de sus reglas, más pueden los atacantes "explotar las reglas de manera programática" para construir un camino de destrucción que sea conforme.
Motor de liquidación: el escudo de la plataforma, también es la hoja
Cuando el precio del mercado se mueve rápidamente en una dirección desfavorable, el margen del comerciante será erosionado por las pérdidas no realizadas. Una vez que el margen restante cae por debajo de la "marca de precio de mantenimiento", se activará el motor de liquidación.
En estos procesos, el estándar de activación más importante es la marca de precio, y no el último precio de transacción de la plataforma. Esto significa que, incluso si el precio de transacción del mercado actual no ha alcanzado su línea de liquidación, tan pronto como esa "marca de precio" "invisible" se alcance, la liquidación se activará de inmediato.
Más preocupante es el mecanismo de "liquidación forzada".
En muchos intercambios, para evitar el riesgo de liquidación, los sistemas de control de riesgos a menudo utilizan parámetros de liquidación relativamente conservadores. Cuando se activa la liquidación forzada, incluso si el precio de liquidación es mejor que el precio real para que las pérdidas se reduzcan a cero, la plataforma generalmente no devolverá esta parte del "excedente de liquidación forzada", sino que la inyectará directamente en el fondo de seguros de la plataforma. Esto lleva a los traders a tener la ilusión de que "aún hay margen, pero se liquida anticipadamente", resultando en que la cuenta se reduzca a cero.
Este mecanismo es especialmente común en activos con baja liquidez. Para cubrir su propio riesgo, la plataforma ajustará la línea de liquidación de manera más conservadora, lo que hace que sea más fácil que las posiciones sean "liquidadas anticipadamente" en medio de las fluctuaciones de precios. La lógica es razonable, pero el resultado provoca un sutil desajuste en las posiciones de interés de la plataforma y los traders en condiciones extremas.
El motor de liquidación debería ser una herramienta de control de riesgos neutral, pero en la asignación de beneficios, selección de parámetros y lógica de activación, presenta una tendencia hacia la monetización de la plataforma.
la pérdida de la marca de precio provoca la distorsión del motor de liquidación
Bajo la tendencia de aversión a las pérdidas en esta plataforma, la fuerte fluctuación del precio del índice y la marca de precio ha agravado aún más el desplazamiento de esta línea de liquidación forzada antes de ( y después de ).
La teoría de la marca de precio proporciona un referente de precio justo y resistente a la manipulación al agregar datos de múltiples fuentes y utilizar algoritmos de mediana. Sin embargo, esta teoría puede ser válida cuando se aplica a activos principales con alta liquidez, pero su efectividad enfrentará severos desafíos cuando se trate de criptomonedas con baja liquidez y mercados concentrados.
El fracaso de la mediana: la dificultad estadística de la centralización de fuentes de datos
Efectividad en grandes conjuntos de datos: Supongamos que un índice de precios contiene 10 fuentes de datos independientes y de alta liquidez. Si una de las fuentes de datos presenta una cotización extrema por alguna razón, el algoritmo de mediana puede identificar fácilmente este valor como un valor atípico e ignorarlo, tomando el valor medio como el precio final, manteniendo así la estabilidad del índice.
Vulnerabilidades en pequeños conjuntos de datos: ahora, consideramos un escenario típico de una moneda alternativa.
Escenario de tres fuentes de datos: Si el índice de marca de precio de una moneda alternativa solo incluye los precios al contado de tres intercambios (A, B, C). En este caso, la mediana es el precio que ocupa la posición del medio entre los tres precios. Si un actor malicioso manipula simultáneamente los precios de dos de los intercambios (, por ejemplo A y B), entonces, sin importar cuán realista sea el precio de C, la mediana será determinada por los precios manipulados de A y B. En este caso, la función protectora del algoritmo de mediana es casi nula.
Escenario de doble fuente de datos: Si el índice solo contiene dos fuentes de datos, la mediana es matemáticamente equivalente al promedio de los dos precios. En este caso, el algoritmo pierde por completo la capacidad de eliminar valores atípicos. Cualquier fluctuación drástica de una fuente de datos se transmitirá directamente y sin atenuación a la marca de precio.
Para la gran mayoría de las altcoins, la profundidad de negociación y el número de intercambios listados son muy limitados, lo que hace que su índice de precios caiga fácilmente en la trampa del "pequeño conjunto de datos" mencionado anteriormente. Por lo tanto, la sensación de seguridad que proporciona el "índice de múltiples fuentes" que afirman los intercambios, a menudo es solo una ilusión en el mundo de las altcoins. Muchas veces, el último precio de transacción a menudo se iguala a la marca de precio.
El dilema del oráculo: cuando la liquidez del mercado spot se agota y se convierte en un arma
La base de la marca de precio es el precio índice, y la fuente del precio índice son los oráculos. Ya sea CEX o DEX, los oráculos desempeñan el papel de puente en la transmisión de información entre la cadena y fuera de la cadena. Sin embargo, aunque este puente es crucial, se vuelve excepcionalmente frágil cuando hay escasez de liquidez.
Oráculo: un frágil puente que conecta la cadena y el mundo fuera de la cadena
Los sistemas de blockchain son esencialmente cerrados y deterministas, los contratos inteligentes no pueden acceder proactivamente a datos fuera de la cadena, como el precio de mercado de los activos. Los oráculos de precios han surgido, son un sistema de middleware encargado de transmitir datos fuera de la cadena de manera segura y confiable a la cadena, proporcionando información del "mundo real" como entrada para el funcionamiento de los contratos inteligentes.
En plataformas de comercio de contratos perpetuos o en protocolos de préstamo, los datos de precios proporcionados por los oráculos constituyen casi la piedra angular de su lógica de gestión de riesgos. Sin embargo, un hecho que a menudo se pasa por alto es que un oráculo "honesto" no significa que informe un precio "razonable". La responsabilidad de un oráculo es registrar con precisión el estado del mundo externo que puede observar, no juzgar si el precio se desvía de los fundamentos. Esta característica revela dos tipos de rutas de ataque completamente diferentes:
Ataque de oráculo: los atacantes manipulan la fuente de datos o el protocolo del oráculo a través de medios técnicos, haciendo que informe un precio incorrecto.
Manipulación del mercado: los atacantes manipulan el mercado externo a través de acciones reales, elevando o reduciendo intencionalmente los precios, mientras que los oráculos que funcionan normalmente registran y reportan este precio de mercado "manipulado". El protocolo en cadena no ha sido violado, pero produce reacciones no esperadas debido a la "contaminación de información".
El último es la esencia de los eventos de Mango Markets y Jelly-My-Jelly: no se comprometió el oráculo, sino que su "ventana de observación" fue contaminada.
Punto de ataque: cuando los defectos de liquidez se convierten en armas
El núcleo de este tipo de ataques radica en aprovechar la desventaja de liquidez de los activos objetivo en el mercado al contado. Para los activos con poca liquidez, incluso órdenes pequeñas pueden provocar fluctuaciones de precios drásticas, lo que brinda oportunidades a los manipuladores.
El ataque a una plataforma de intercambio en octubre de 2022 se considera un "ejemplo". Los atacantes aprovecharon la extrema falta de liquidez de su token de gobernanza (, que en ese momento tenía un volumen de negociación diario de menos de 100,000 dólares ), invirtiendo aproximadamente 4 millones de dólares en varios intercambios para comprar, logrando así elevar el precio del token más de un 2300% en un corto período de tiempo. Este "precio anómalo" fue registrado completamente por el oráculo y alimentado al protocolo en la cadena, lo que provocó un aumento exorbitante en su límite de préstamo, y finalmente "legalmente" vació todos los activos de la plataforma (, aproximadamente 116 millones de dólares ).
Análisis detallado de la ruta de ataque: cinco pasos para atravesar la línea de defensa del protocolo
Selección de objetivos: el atacante primero filtra los tokens objetivo, que generalmente cumplen con las siguientes condiciones: se han lanzado contratos perpetuos en alguna plataforma de derivados principal; el precio del oráculo proviene de varios intercambios de spot conocidos y de baja liquidez; el volumen diario de operaciones es bajo, el libro de órdenes es escaso y es muy fácil de manipular.
Recaudación de capital: la mayoría de los atacantes obtienen fondos temporales masivos a través de "préstamos relámpago". Este mecanismo permite pedir prestado y devolver activos en una sola transacción, sin necesidad de ninguna garantía, reduciendo significativamente los costos de manipulación.
Mercado spot flash: atacantes realizan grandes órdenes de compra en un tiempo muy corto, sincronizando en todos los intercambios monitoreados por oráculos. Estas órdenes barren rápidamente las órdenes de venta, empujando el precio hacia arriba, muy alejado de su valor real.
Contaminación de oráculos: Los oráculos leen los precios de manera fiel de los intercambios manipulados mencionados anteriormente, incluso utilizando mecanismos de resistencia a la volatilidad como la mediana o el promedio ponderado, es difícil resistir la manipulación múltiple simultánea. El precio índice final queda gravemente contaminado.
Infección de marca de precio: el índice de precios contaminados ingresa a la plataforma de derivados, afectando el cálculo de la marca de precio. El motor de liquidación juzga erróneamente el rango de riesgo, desencadenando una "liquidación" a gran escala, los traders sufren grandes pérdidas, mientras que los atacantes pueden lograr arbitraje a través de posiciones inversas o operaciones de préstamos.
"Manual de operaciones" del atacante: la espada de doble filo de la transparencia
Tanto los protocolos CEX como DEX suelen considerar la "transparencia de código abierto" como una virtud, publicando detalles sobre su mecanismo de oráculos, el peso de las fuentes de datos, la frecuencia de actualización de precios, etc., con el objetivo de establecer la confianza del usuario. Sin embargo, para los atacantes, esta información se convierte en un "manual" para elaborar planes de ataque.
Tomando como ejemplo una plataforma de intercambio, su arquitectura de oráculos enumera públicamente todas las fuentes de datos de los intercambios y sus pesos. Un atacante puede calcular con precisión, en cada intercambio con menor liquidez, cuánto capital invertir para distorsionar al máximo el índice ponderado final. Esta "ingeniería algorítmica" hace que el ataque sea controlable, predecible y minimice costos.
Las matemáticas son simples, pero las personas son complejas.
Caza: Análisis de los riesgos estructurales de una plataforma de trading
Después de entender el principio del ataque, el "atacante" debe elegir el "campo de batalla" adecuado para llevar a cabo su acción: una plataforma de intercambio. Aunque manipular oráculos es una técnica de ataque común, la razón fundamental por la que el incidente "Jelly-My-Jelly" pudo ocurrir en esta plataforma y causar graves consecuencias radica en la estructura de liquidez y el mecanismo de liquidación únicos de la plataforma. Estos diseños, que buscan mejorar la experiencia del usuario y la eficiencia del capital, aunque están llenos de innovación, también inesperadamente proporcionaron una oportunidad para los atacantes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
La marca de precio como arma: análisis del riesgo sistémico en el mercado de futuros perpetuos de alts
Cuando los mensajeros leales se convierten en armas: la marca de precio desata la tormenta de liquidación de Hyperliquid
En marzo de 2025, un token poco conocido llamado JELLY, con un volumen de negociación diario inferior a 2 millones de dólares, provocó una tormenta de liquidación de decenas de millones de dólares en una plataforma de intercambio. Lo sorprendente es que los atacantes no alteraron el contrato inteligente ni aprovecharon vulnerabilidades de código tradicionales, sino que convirtieron el mecanismo de seguridad más fundamental de la plataforma: la marca de precio, en un arma.
Esto no fue un ataque de hackers, sino un "ataque de conformidad" a las reglas del sistema. Los atacantes aprovecharon la lógica de cálculo pública de la plataforma, los procesos algorítmicos y los mecanismos de control de riesgos, creando un "ataque sin código" que resultó extremadamente letal para el mercado y los operadores. El precio de marca, que debería haber sido un ancla de "neutralidad y seguridad" en el mercado, se convirtió en una espada en este incidente.
Este artículo analizará en profundidad, desde dos perspectivas teóricas y prácticas, los riesgos sistémicos del mecanismo de marca de precio en el mercado de contratos perpetuos de criptomonedas, y realizará un análisis detallado del evento de ataque Jelly-My-Jelly. Este evento no solo revela la vulnerabilidad estructural en el diseño de oráculos, y la naturaleza de doble filo de los pools de liquidez innovadores, sino que también expone la asimetría inherente en la protección de los fondos de los usuarios bajo la lógica de liquidación actual en condiciones extremas.
La paradoja central de los contratos perpetuos: el sesgo del mecanismo de liquidación que proporciona una falsa sensación de seguridad
marca de precio: una tendencia de liquidación provocada por un juego de consenso malinterpretado como seguro
Para entender cómo la marca de precio se convierte en un punto de ataque, primero debemos desglosar su lógica de construcción. Aunque los métodos de cálculo varían ligeramente entre los intercambios, su principio central es altamente consistente: un mecanismo de mediana de tres valores construido en torno al "precio índice".
El precio del índice es la piedra angular de la marca de precio. No proviene de la propia bolsa de derivados, sino que se calcula mediante un promedio ponderado de los precios de ese activo en múltiples plataformas de spot principales, con el objetivo de proporcionar un precio de referencia justo a través de plataformas y regiones.
Un método típico de cálculo de la marca de precio es el siguiente:
Marca de precio = Mediana (Precio1, Precio2, Último precio negociado)
Price1 = precio índice × (1 + diferencia de tasa de financiamiento ): ancla el precio del contrato al precio índice y considera las expectativas del mercado.
Price2 = precio índice + desviación media móvil: se utiliza para suavizar las anomalías de precios a corto plazo.
Last Traded Price = Precio de última negociación en la plataforma de derivados.
La introducción de la mediana tiene como objetivo eliminar los valores atípicos y mejorar la estabilidad de precios. Sin embargo, la seguridad de este diseño se basa completamente en una suposición clave: que la cantidad de fuentes de datos de entrada es suficiente, la distribución es razonable, la liquidez es fuerte y es difícil de manipular de manera colaborativa.
Sin embargo, en la realidad, el mercado spot de la gran mayoría de las altcoins es extremadamente débil. Una vez que un atacante puede controlar el precio en algunas plataformas de baja liquidez, puede "contaminar" el precio del índice, inyectando así datos maliciosos de manera legítima a través de la fórmula en la marca de precio. Este tipo de ataque puede provocar liquidaciones masivas de apalancamiento a un costo mínimo, desencadenando una reacción en cadena.
En otras palabras, el mecanismo de agregación tiene como objetivo dispersar el riesgo, pero en un mercado con poca liquidez, en realidad forma una "debilidad centralizada" controlable por los atacantes. Cuanto más enfatiza la plataforma de derivados la transparencia y previsibilidad de sus reglas, más pueden los atacantes "explotar las reglas de manera programática" para construir un camino de destrucción que sea conforme.
Motor de liquidación: el escudo de la plataforma, también es la hoja
Cuando el precio del mercado se mueve rápidamente en una dirección desfavorable, el margen del comerciante será erosionado por las pérdidas no realizadas. Una vez que el margen restante cae por debajo de la "marca de precio de mantenimiento", se activará el motor de liquidación.
En estos procesos, el estándar de activación más importante es la marca de precio, y no el último precio de transacción de la plataforma. Esto significa que, incluso si el precio de transacción del mercado actual no ha alcanzado su línea de liquidación, tan pronto como esa "marca de precio" "invisible" se alcance, la liquidación se activará de inmediato.
Más preocupante es el mecanismo de "liquidación forzada".
En muchos intercambios, para evitar el riesgo de liquidación, los sistemas de control de riesgos a menudo utilizan parámetros de liquidación relativamente conservadores. Cuando se activa la liquidación forzada, incluso si el precio de liquidación es mejor que el precio real para que las pérdidas se reduzcan a cero, la plataforma generalmente no devolverá esta parte del "excedente de liquidación forzada", sino que la inyectará directamente en el fondo de seguros de la plataforma. Esto lleva a los traders a tener la ilusión de que "aún hay margen, pero se liquida anticipadamente", resultando en que la cuenta se reduzca a cero.
Este mecanismo es especialmente común en activos con baja liquidez. Para cubrir su propio riesgo, la plataforma ajustará la línea de liquidación de manera más conservadora, lo que hace que sea más fácil que las posiciones sean "liquidadas anticipadamente" en medio de las fluctuaciones de precios. La lógica es razonable, pero el resultado provoca un sutil desajuste en las posiciones de interés de la plataforma y los traders en condiciones extremas.
El motor de liquidación debería ser una herramienta de control de riesgos neutral, pero en la asignación de beneficios, selección de parámetros y lógica de activación, presenta una tendencia hacia la monetización de la plataforma.
la pérdida de la marca de precio provoca la distorsión del motor de liquidación
Bajo la tendencia de aversión a las pérdidas en esta plataforma, la fuerte fluctuación del precio del índice y la marca de precio ha agravado aún más el desplazamiento de esta línea de liquidación forzada antes de ( y después de ).
La teoría de la marca de precio proporciona un referente de precio justo y resistente a la manipulación al agregar datos de múltiples fuentes y utilizar algoritmos de mediana. Sin embargo, esta teoría puede ser válida cuando se aplica a activos principales con alta liquidez, pero su efectividad enfrentará severos desafíos cuando se trate de criptomonedas con baja liquidez y mercados concentrados.
El fracaso de la mediana: la dificultad estadística de la centralización de fuentes de datos
Efectividad en grandes conjuntos de datos: Supongamos que un índice de precios contiene 10 fuentes de datos independientes y de alta liquidez. Si una de las fuentes de datos presenta una cotización extrema por alguna razón, el algoritmo de mediana puede identificar fácilmente este valor como un valor atípico e ignorarlo, tomando el valor medio como el precio final, manteniendo así la estabilidad del índice.
Vulnerabilidades en pequeños conjuntos de datos: ahora, consideramos un escenario típico de una moneda alternativa.
Escenario de tres fuentes de datos: Si el índice de marca de precio de una moneda alternativa solo incluye los precios al contado de tres intercambios (A, B, C). En este caso, la mediana es el precio que ocupa la posición del medio entre los tres precios. Si un actor malicioso manipula simultáneamente los precios de dos de los intercambios (, por ejemplo A y B), entonces, sin importar cuán realista sea el precio de C, la mediana será determinada por los precios manipulados de A y B. En este caso, la función protectora del algoritmo de mediana es casi nula.
Escenario de doble fuente de datos: Si el índice solo contiene dos fuentes de datos, la mediana es matemáticamente equivalente al promedio de los dos precios. En este caso, el algoritmo pierde por completo la capacidad de eliminar valores atípicos. Cualquier fluctuación drástica de una fuente de datos se transmitirá directamente y sin atenuación a la marca de precio.
Para la gran mayoría de las altcoins, la profundidad de negociación y el número de intercambios listados son muy limitados, lo que hace que su índice de precios caiga fácilmente en la trampa del "pequeño conjunto de datos" mencionado anteriormente. Por lo tanto, la sensación de seguridad que proporciona el "índice de múltiples fuentes" que afirman los intercambios, a menudo es solo una ilusión en el mundo de las altcoins. Muchas veces, el último precio de transacción a menudo se iguala a la marca de precio.
El dilema del oráculo: cuando la liquidez del mercado spot se agota y se convierte en un arma
La base de la marca de precio es el precio índice, y la fuente del precio índice son los oráculos. Ya sea CEX o DEX, los oráculos desempeñan el papel de puente en la transmisión de información entre la cadena y fuera de la cadena. Sin embargo, aunque este puente es crucial, se vuelve excepcionalmente frágil cuando hay escasez de liquidez.
Oráculo: un frágil puente que conecta la cadena y el mundo fuera de la cadena
Los sistemas de blockchain son esencialmente cerrados y deterministas, los contratos inteligentes no pueden acceder proactivamente a datos fuera de la cadena, como el precio de mercado de los activos. Los oráculos de precios han surgido, son un sistema de middleware encargado de transmitir datos fuera de la cadena de manera segura y confiable a la cadena, proporcionando información del "mundo real" como entrada para el funcionamiento de los contratos inteligentes.
En plataformas de comercio de contratos perpetuos o en protocolos de préstamo, los datos de precios proporcionados por los oráculos constituyen casi la piedra angular de su lógica de gestión de riesgos. Sin embargo, un hecho que a menudo se pasa por alto es que un oráculo "honesto" no significa que informe un precio "razonable". La responsabilidad de un oráculo es registrar con precisión el estado del mundo externo que puede observar, no juzgar si el precio se desvía de los fundamentos. Esta característica revela dos tipos de rutas de ataque completamente diferentes:
Ataque de oráculo: los atacantes manipulan la fuente de datos o el protocolo del oráculo a través de medios técnicos, haciendo que informe un precio incorrecto.
Manipulación del mercado: los atacantes manipulan el mercado externo a través de acciones reales, elevando o reduciendo intencionalmente los precios, mientras que los oráculos que funcionan normalmente registran y reportan este precio de mercado "manipulado". El protocolo en cadena no ha sido violado, pero produce reacciones no esperadas debido a la "contaminación de información".
El último es la esencia de los eventos de Mango Markets y Jelly-My-Jelly: no se comprometió el oráculo, sino que su "ventana de observación" fue contaminada.
Punto de ataque: cuando los defectos de liquidez se convierten en armas
El núcleo de este tipo de ataques radica en aprovechar la desventaja de liquidez de los activos objetivo en el mercado al contado. Para los activos con poca liquidez, incluso órdenes pequeñas pueden provocar fluctuaciones de precios drásticas, lo que brinda oportunidades a los manipuladores.
El ataque a una plataforma de intercambio en octubre de 2022 se considera un "ejemplo". Los atacantes aprovecharon la extrema falta de liquidez de su token de gobernanza (, que en ese momento tenía un volumen de negociación diario de menos de 100,000 dólares ), invirtiendo aproximadamente 4 millones de dólares en varios intercambios para comprar, logrando así elevar el precio del token más de un 2300% en un corto período de tiempo. Este "precio anómalo" fue registrado completamente por el oráculo y alimentado al protocolo en la cadena, lo que provocó un aumento exorbitante en su límite de préstamo, y finalmente "legalmente" vació todos los activos de la plataforma (, aproximadamente 116 millones de dólares ).
Análisis detallado de la ruta de ataque: cinco pasos para atravesar la línea de defensa del protocolo
Selección de objetivos: el atacante primero filtra los tokens objetivo, que generalmente cumplen con las siguientes condiciones: se han lanzado contratos perpetuos en alguna plataforma de derivados principal; el precio del oráculo proviene de varios intercambios de spot conocidos y de baja liquidez; el volumen diario de operaciones es bajo, el libro de órdenes es escaso y es muy fácil de manipular.
Recaudación de capital: la mayoría de los atacantes obtienen fondos temporales masivos a través de "préstamos relámpago". Este mecanismo permite pedir prestado y devolver activos en una sola transacción, sin necesidad de ninguna garantía, reduciendo significativamente los costos de manipulación.
Mercado spot flash: atacantes realizan grandes órdenes de compra en un tiempo muy corto, sincronizando en todos los intercambios monitoreados por oráculos. Estas órdenes barren rápidamente las órdenes de venta, empujando el precio hacia arriba, muy alejado de su valor real.
Contaminación de oráculos: Los oráculos leen los precios de manera fiel de los intercambios manipulados mencionados anteriormente, incluso utilizando mecanismos de resistencia a la volatilidad como la mediana o el promedio ponderado, es difícil resistir la manipulación múltiple simultánea. El precio índice final queda gravemente contaminado.
Infección de marca de precio: el índice de precios contaminados ingresa a la plataforma de derivados, afectando el cálculo de la marca de precio. El motor de liquidación juzga erróneamente el rango de riesgo, desencadenando una "liquidación" a gran escala, los traders sufren grandes pérdidas, mientras que los atacantes pueden lograr arbitraje a través de posiciones inversas o operaciones de préstamos.
"Manual de operaciones" del atacante: la espada de doble filo de la transparencia
Tanto los protocolos CEX como DEX suelen considerar la "transparencia de código abierto" como una virtud, publicando detalles sobre su mecanismo de oráculos, el peso de las fuentes de datos, la frecuencia de actualización de precios, etc., con el objetivo de establecer la confianza del usuario. Sin embargo, para los atacantes, esta información se convierte en un "manual" para elaborar planes de ataque.
Tomando como ejemplo una plataforma de intercambio, su arquitectura de oráculos enumera públicamente todas las fuentes de datos de los intercambios y sus pesos. Un atacante puede calcular con precisión, en cada intercambio con menor liquidez, cuánto capital invertir para distorsionar al máximo el índice ponderado final. Esta "ingeniería algorítmica" hace que el ataque sea controlable, predecible y minimice costos.
Las matemáticas son simples, pero las personas son complejas.
Caza: Análisis de los riesgos estructurales de una plataforma de trading
Después de entender el principio del ataque, el "atacante" debe elegir el "campo de batalla" adecuado para llevar a cabo su acción: una plataforma de intercambio. Aunque manipular oráculos es una técnica de ataque común, la razón fundamental por la que el incidente "Jelly-My-Jelly" pudo ocurrir en esta plataforma y causar graves consecuencias radica en la estructura de liquidez y el mecanismo de liquidación únicos de la plataforma. Estos diseños, que buscan mejorar la experiencia del usuario y la eficiencia del capital, aunque están llenos de innovación, también inesperadamente proporcionaron una oportunidad para los atacantes.