Khi những sứ giả trung thành trở thành vũ khí: giá đánh dấu kích hoạt cơn bão thanh lý Hyperliquid
Vào tháng 3 năm 2025, một đồng tiền ít người biết đến có khối lượng giao dịch hàng ngày chưa đến 2 triệu USD mang tên JELLY đã gây ra một cơn bão thanh lý trị giá hàng triệu USD trên một nền tảng giao dịch. Điều đáng kinh ngạc là, kẻ tấn công không hề sửa đổi hợp đồng thông minh, cũng như không tận dụng các lỗ hổng mã truyền thống, mà đã biến cơ chế an toàn cốt lõi nhất của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một cuộc "tấn công tuân thủ" đối với các quy tắc hệ thống. Kẻ tấn công đã lợi dụng logic tính toán công khai của nền tảng, quy trình thuật toán và cơ chế kiểm soát rủi ro để tạo ra một "cuộc tấn công không mã" gây thiệt hại lớn cho thị trường và các nhà giao dịch. Giá đánh dấu, vốn nên là "neo trung lập và an toàn" cho thị trường, trong sự kiện này đã biến từ khiên thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo từ hai khía cạnh lý thuyết và thực tiễn, đồng thời thực hiện một hồi tưởng chi tiết về sự kiện tấn công Jelly-My-Jelly. Sự kiện này không chỉ tiết lộ sự yếu kém cấu trúc trong thiết kế oracle, tính hai mặt của các pool thanh khoản đổi mới, mà còn phơi bày sự không đối xứng nội tại trong logic thanh lý hiện tại đối với việc bảo vệ tài sản của người dùng trong các tình huống cực đoan.
Nghịch lý cốt lõi của hợp đồng vĩnh viễn: Cơ chế thanh lý nghiêng do cảm giác an toàn giả tạo
giá đánh dấu: một trò chơi đồng thuận tưởng là an toàn mang lại xu hướng thanh lý
Để hiểu cách giá đánh dấu trở thành điểm tấn công, trước tiên phải phân tích logic cấu thành của nó. Mặc dù cách tính toán của các sàn giao dịch có chút khác biệt, nhưng nguyên tắc cốt lõi thì rất đồng nhất - cơ chế trung vị ba giá được xây dựng xung quanh "giá chỉ số".
Giá chỉ số là nền tảng của giá đánh dấu. Nó không đến từ chính sàn giao dịch phái sinh, mà được tính toán thông qua trung bình trọng số của giá của tài sản trên nhiều nền tảng giao dịch chính. Mục đích là cung cấp một giá tham khảo công bằng, xuyên nền tảng và xuyên vùng.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung bình (Giá1, Giá2, Giá giao dịch cuối )
Price1 = giá chỉ số × (1 + chênh lệch tỷ lệ phí vốn ): Gắn giá hợp đồng với giá chỉ số và xem xét kỳ vọng của thị trường.
Price2 = giá chỉ số + độ lệch trung bình động: dùng để làm mịn các bất thường giá ngắn hạn.
Giá giao dịch cuối cùng = Giá giao dịch cuối cùng trên nền tảng hợp đồng phái sinh.
Việc đưa ra giá trị trung vị, mục đích ban đầu là để loại bỏ các giá trị bất thường, nâng cao tính ổn định của giá cả. Nhưng tính an toàn của thiết kế này hoàn toàn dựa trên một giả định chính: số lượng nguồn dữ liệu đầu vào đủ, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng theo sự phối hợp.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo yếu ớt đến mức cực kỳ. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có tính thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại thông qua công thức vào giá đánh dấu. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra phản ứng dây chuyền.
Nói cách khác, cơ chế tập hợp vốn dĩ nhằm phân tán rủi ro, nhưng trong thị trường có tính thanh khoản thấp, lại hình thành "điểm yếu trung tâm hóa" mà kẻ tấn công có thể kiểm soát. Các nền tảng sản phẩm phái sinh càng nhấn mạnh vào tính minh bạch và khả năng dự đoán của quy tắc, thì kẻ tấn công càng có khả năng "khai thác quy tắc một cách lập trình", tạo ra một con đường phá hoại hợp pháp.
Công cụ thanh toán: chiếc khiên của nền tảng, cũng là lưỡi dao.
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị tổn thất. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì", động cơ thanh lý sẽ được khởi động.
Trong các quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu, chứ không phải giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch thị trường hiện tại chưa chạm đến mức thanh lý của bạn, chỉ cần giá đánh dấu "không nhìn thấy" đó đạt được, thanh lý sẽ ngay lập tức được kích hoạt.
Điều đáng chú ý hơn là cơ chế "ép buộc thanh lý".
Trong nhiều sàn giao dịch, để tránh rủi ro bị thanh lý, hệ thống quản lý rủi ro thường áp dụng các tham số thanh lý có phần bảo thủ. Khi xảy ra thanh lý cưỡng bức, ngay cả khi giá thanh lý tốt hơn giá thực tế để lỗ trở về 0, nền tảng cũng thường không hoàn lại phần "lợi nhuận thanh lý cưỡng bức" này, mà sẽ trực tiếp đưa vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng lại bị thanh lý trước thời hạn", tài khoản trực tiếp về 0.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng hơn để các vị thế bị "đóng trước" trong sự biến động giá. Logic của nó là hợp lý, nhưng kết quả lại khiến lợi ích của nền tảng và nhà giao dịch có sự lệch lạc tinh tế trong các tình huống cực đoan.
Công cụ thanh lý lẽ ra phải là một công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân bổ lợi nhuận, lựa chọn tham số và logic kích hoạt, nó lại có xu hướng mang lại lợi nhuận cho nền tảng.
giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của động cơ thanh lý
Trong xu hướng ghét mất mát trên nền tảng này, sự biến động mạnh của giá chỉ số và giá đánh dấu càng làm gia tăng sự dịch chuyển của đường cắt lỗ cưỡng chế này trước ( và sau ).
Lý thuyết giá đánh dấu cung cấp một cơ sở giá công bằng và chống thao túng thông qua việc tổng hợp dữ liệu từ nhiều nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chính dòng có tính thanh khoản cao, nhưng sẽ gặp phải thách thức nghiêm trọng về hiệu quả khi đối mặt với các đồng coin có tính thanh khoản thấp và thị trường giao dịch tập trung.
Sự thất bại của trung vị: Những khó khăn thống kê từ nguồn dữ liệu tập trung
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập, có tính thanh khoản cao. Nếu một trong những nguồn dữ liệu đó xuất hiện báo giá cực đoan do một lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó như một giá trị ngoại lai và bỏ qua, lấy giá trị trung bình làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Điểm yếu trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình của một đồng tiền ảo.
Tình huống ba nguồn dữ liệu: Nếu chỉ số giá đánh dấu của một đồng coin chỉ bao gồm giá giao ngay của ba sàn giao dịch (A, B, C). Lúc này, giá trị trung vị chính là giá ở giữa trong ba giá đó. Nếu một kẻ xấu thao túng giá của hai sàn giao dịch ( chẳng hạn như A và B), thì giá trị trung vị sẽ bị quyết định bởi giá bị thao túng của A và B, bất kể giá của C có thực tế đến đâu. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống nguồn dữ liệu kép: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, thì trung vị về mặt toán học tương đương với giá trung bình của hai mức giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự biến động mạnh nào từ một nguồn dữ liệu sẽ trực tiếp, không suy giảm, truyền đến giá đánh dấu.
Đối với hầu hết các đồng tiền ảo, độ sâu giao dịch và số lượng sàn giao dịch niêm yết đều rất hạn chế, điều này khiến cho chỉ số giá của chúng dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nêu ở trên. Do đó, sự an tâm mà "chỉ số đa nguồn" mà các sàn giao dịch tuyên bố mang lại, thường chỉ là một ảo giác trong thế giới của các đồng tiền ảo. Nhiều lúc, giá giao dịch mới nhất thường được coi là tương đương với giá đánh dấu.
Nghịch lý oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có nền tảng là giá chỉ số, và nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này mặc dù quan trọng, nhưng lại rất dễ bị tổn thương khi thiếu tính thanh khoản.
Oracle: Cây cầu mong manh kết nối trên chuỗi và dưới chuỗi
Hệ thống blockchain về bản chất là kín và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu bên ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Oracle giá xuất hiện như một hệ thống trung gian, có nhiệm vụ truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy lên chuỗi, cung cấp thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trong nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay và các cơ sở hạ tầng DeFi cốt lõi khác, dữ liệu giá mà oracle cung cấp gần như cấu thành nền tảng cho logic quản lý rủi ro của chúng. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "trung thực" không có nghĩa là nó báo cáo giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại một cách trung thực trạng thái của thế giới bên ngoài mà nó có thể quan sát được, nó không đánh giá xem giá có lệch khỏi cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle: Kẻ tấn công sử dụng các phương pháp kỹ thuật để thay đổi nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường: Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc hạ giá xuống, trong khi các oracle hoạt động bình thường ghi lại và báo cáo giá thị trường "đã bị thao túng" một cách trung thực. Giao thức trên chuỗi không bị xâm nhập, nhưng lại gây ra phản ứng không mong muốn do "thông tin bị nhiễm độc".
Điều thứ hai chính là bản chất của sự kiện Mango Markets và Jelly-My-Jelly: không phải oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
Điểm tấn công: Khi thiếu hụt thanh khoản trở thành vũ khí
Điểm cốt lõi của loại tấn công này là lợi dụng sự yếu kém về tính thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với các tài sản có giao dịch ít, ngay cả những đơn hàng nhỏ cũng có thể gây ra biến động giá mạnh, từ đó tạo cơ hội cho kẻ thao túng.
Cuộc tấn công vào một nền tảng giao dịch vào tháng 10 năm 2022 được coi là "mẫu mực". Kẻ tấn công đã tận dụng sự cạn kiệt thanh khoản cực độ của token quản trị của nó ( khi khối lượng giao dịch hàng ngày không vượt quá 100.000 USD ), thông qua việc đầu tư khoảng 4 triệu USD vào nhiều sàn giao dịch, thành công trong việc đẩy giá token tăng hơn 2300% trong thời gian rất ngắn. "Giá bất thường" này đã được oracle ghi lại đầy đủ và cung cấp cho các giao thức trên chuỗi, dẫn đến việc hạn mức vay của nó tăng vọt, cuối cùng "hợp pháp" làm trống rỗng toàn bộ tài sản của nền tảng ( khoảng 116 triệu USD ).
Phân tích đường tấn công: Năm bước xuyên thủng phòng tuyến giao thức
Lựa chọn mục tiêu: Kẻ tấn công đầu tiên sàng lọc các token mục tiêu, thường có các điều kiện sau: đã ra mắt hợp đồng vĩnh viễn trên một nền tảng sản phẩm phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, có tính thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, dễ bị thao túng.
Huy động vốn: Hầu hết các kẻ tấn công lấy được lượng tiền lớn tạm thời thông qua "vay chớp nhoáng". Cơ chế này cho phép vay và hoàn trả tài sản trong một giao dịch duy nhất, không cần bất kỳ tài sản thế chấp nào, giảm đáng kể chi phí thao túng.
Thị trường giao ngay chớp nhoáng: Kẻ tấn công trong thời gian cực ngắn, đồng thời phát lệnh mua lớn trên tất cả các sàn giao dịch được giám sát bởi oracle. Những đơn hàng này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa cách giá trị thực của nó.
Ô nhiễm từ oracle: Oracle trung thực đọc giá từ các sàn giao dịch bị thao túng ở trên, ngay cả khi áp dụng các cơ chế kháng biến động như trung bình cộng, trung bình trọng số, cũng khó mà chống lại việc thao túng từ nhiều nguồn cùng lúc. Giá chỉ số cuối cùng bị ô nhiễm nghiêm trọng.
Giá đánh dấu nhiễm: Chỉ số giá bị ô nhiễm vào nền tảng sản phẩm phái sinh, ảnh hưởng đến việc tính toán giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu thiệt hại nặng nề, kẻ tấn công có thể thực hiện giao dịch chênh lệch thông qua vị thế ngược hoặc hoạt động cho vay.
"Sổ tay chiến đấu" của kẻ tấn công: Con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường coi "mã nguồn mở và minh bạch" là một đức tính, công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất làm mới giá cả và các chi tiết khác, nhằm mục đích xây dựng lòng tin của người dùng. Tuy nhiên, đối với kẻ tấn công, những thông tin này lại trở thành "sách hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các sàn giao dịch nguồn dữ liệu và trọng số của chúng. Kẻ tấn công dựa vào đó có thể tính toán chính xác, tại mỗi sàn giao dịch có tính thanh khoản yếu nhất, đầu tư bao nhiêu tiền để có thể làm biến dạng chỉ số trọng số cuối cùng ở mức tối đa. "Kỹ thuật thuật toán" này khiến cho việc tấn công trở nên có thể kiểm soát, có thể dự đoán, và chi phí được tối thiểu hóa.
Toán học rất đơn giản, nhưng con người thì phức tạp.
Săn bắn: Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo sẽ chọn "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương thức tấn công phổ biến, nhưng lý do chính khiến sự kiện "Jelly-My-Jelly" có thể xảy ra trên nền tảng này và gây ra hậu quả nghiêm trọng, là do cấu trúc thanh khoản và cơ chế thanh lý đặc trưng của nền tảng này. Những thiết kế nhằm nâng cao trải nghiệm người dùng và hiệu quả vốn này, mặc dù đầy tính đổi mới, nhưng cũng vô tình cung cấp cho kẻ tấn công một cơ hội.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
giá đánh dấu thành vũ khí Phân tích rủi ro hệ thống của thị trường Hợp đồng tương lai vĩnh cửu alts
Khi những sứ giả trung thành trở thành vũ khí: giá đánh dấu kích hoạt cơn bão thanh lý Hyperliquid
Vào tháng 3 năm 2025, một đồng tiền ít người biết đến có khối lượng giao dịch hàng ngày chưa đến 2 triệu USD mang tên JELLY đã gây ra một cơn bão thanh lý trị giá hàng triệu USD trên một nền tảng giao dịch. Điều đáng kinh ngạc là, kẻ tấn công không hề sửa đổi hợp đồng thông minh, cũng như không tận dụng các lỗ hổng mã truyền thống, mà đã biến cơ chế an toàn cốt lõi nhất của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một cuộc "tấn công tuân thủ" đối với các quy tắc hệ thống. Kẻ tấn công đã lợi dụng logic tính toán công khai của nền tảng, quy trình thuật toán và cơ chế kiểm soát rủi ro để tạo ra một "cuộc tấn công không mã" gây thiệt hại lớn cho thị trường và các nhà giao dịch. Giá đánh dấu, vốn nên là "neo trung lập và an toàn" cho thị trường, trong sự kiện này đã biến từ khiên thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo từ hai khía cạnh lý thuyết và thực tiễn, đồng thời thực hiện một hồi tưởng chi tiết về sự kiện tấn công Jelly-My-Jelly. Sự kiện này không chỉ tiết lộ sự yếu kém cấu trúc trong thiết kế oracle, tính hai mặt của các pool thanh khoản đổi mới, mà còn phơi bày sự không đối xứng nội tại trong logic thanh lý hiện tại đối với việc bảo vệ tài sản của người dùng trong các tình huống cực đoan.
Nghịch lý cốt lõi của hợp đồng vĩnh viễn: Cơ chế thanh lý nghiêng do cảm giác an toàn giả tạo
giá đánh dấu: một trò chơi đồng thuận tưởng là an toàn mang lại xu hướng thanh lý
Để hiểu cách giá đánh dấu trở thành điểm tấn công, trước tiên phải phân tích logic cấu thành của nó. Mặc dù cách tính toán của các sàn giao dịch có chút khác biệt, nhưng nguyên tắc cốt lõi thì rất đồng nhất - cơ chế trung vị ba giá được xây dựng xung quanh "giá chỉ số".
Giá chỉ số là nền tảng của giá đánh dấu. Nó không đến từ chính sàn giao dịch phái sinh, mà được tính toán thông qua trung bình trọng số của giá của tài sản trên nhiều nền tảng giao dịch chính. Mục đích là cung cấp một giá tham khảo công bằng, xuyên nền tảng và xuyên vùng.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung bình (Giá1, Giá2, Giá giao dịch cuối )
Price1 = giá chỉ số × (1 + chênh lệch tỷ lệ phí vốn ): Gắn giá hợp đồng với giá chỉ số và xem xét kỳ vọng của thị trường.
Price2 = giá chỉ số + độ lệch trung bình động: dùng để làm mịn các bất thường giá ngắn hạn.
Giá giao dịch cuối cùng = Giá giao dịch cuối cùng trên nền tảng hợp đồng phái sinh.
Việc đưa ra giá trị trung vị, mục đích ban đầu là để loại bỏ các giá trị bất thường, nâng cao tính ổn định của giá cả. Nhưng tính an toàn của thiết kế này hoàn toàn dựa trên một giả định chính: số lượng nguồn dữ liệu đầu vào đủ, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng theo sự phối hợp.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo yếu ớt đến mức cực kỳ. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có tính thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại thông qua công thức vào giá đánh dấu. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra phản ứng dây chuyền.
Nói cách khác, cơ chế tập hợp vốn dĩ nhằm phân tán rủi ro, nhưng trong thị trường có tính thanh khoản thấp, lại hình thành "điểm yếu trung tâm hóa" mà kẻ tấn công có thể kiểm soát. Các nền tảng sản phẩm phái sinh càng nhấn mạnh vào tính minh bạch và khả năng dự đoán của quy tắc, thì kẻ tấn công càng có khả năng "khai thác quy tắc một cách lập trình", tạo ra một con đường phá hoại hợp pháp.
Công cụ thanh toán: chiếc khiên của nền tảng, cũng là lưỡi dao.
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị tổn thất. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì", động cơ thanh lý sẽ được khởi động.
Trong các quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu, chứ không phải giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch thị trường hiện tại chưa chạm đến mức thanh lý của bạn, chỉ cần giá đánh dấu "không nhìn thấy" đó đạt được, thanh lý sẽ ngay lập tức được kích hoạt.
Điều đáng chú ý hơn là cơ chế "ép buộc thanh lý".
Trong nhiều sàn giao dịch, để tránh rủi ro bị thanh lý, hệ thống quản lý rủi ro thường áp dụng các tham số thanh lý có phần bảo thủ. Khi xảy ra thanh lý cưỡng bức, ngay cả khi giá thanh lý tốt hơn giá thực tế để lỗ trở về 0, nền tảng cũng thường không hoàn lại phần "lợi nhuận thanh lý cưỡng bức" này, mà sẽ trực tiếp đưa vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng lại bị thanh lý trước thời hạn", tài khoản trực tiếp về 0.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng hơn để các vị thế bị "đóng trước" trong sự biến động giá. Logic của nó là hợp lý, nhưng kết quả lại khiến lợi ích của nền tảng và nhà giao dịch có sự lệch lạc tinh tế trong các tình huống cực đoan.
Công cụ thanh lý lẽ ra phải là một công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân bổ lợi nhuận, lựa chọn tham số và logic kích hoạt, nó lại có xu hướng mang lại lợi nhuận cho nền tảng.
giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của động cơ thanh lý
Trong xu hướng ghét mất mát trên nền tảng này, sự biến động mạnh của giá chỉ số và giá đánh dấu càng làm gia tăng sự dịch chuyển của đường cắt lỗ cưỡng chế này trước ( và sau ).
Lý thuyết giá đánh dấu cung cấp một cơ sở giá công bằng và chống thao túng thông qua việc tổng hợp dữ liệu từ nhiều nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chính dòng có tính thanh khoản cao, nhưng sẽ gặp phải thách thức nghiêm trọng về hiệu quả khi đối mặt với các đồng coin có tính thanh khoản thấp và thị trường giao dịch tập trung.
Sự thất bại của trung vị: Những khó khăn thống kê từ nguồn dữ liệu tập trung
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập, có tính thanh khoản cao. Nếu một trong những nguồn dữ liệu đó xuất hiện báo giá cực đoan do một lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó như một giá trị ngoại lai và bỏ qua, lấy giá trị trung bình làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Điểm yếu trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình của một đồng tiền ảo.
Tình huống ba nguồn dữ liệu: Nếu chỉ số giá đánh dấu của một đồng coin chỉ bao gồm giá giao ngay của ba sàn giao dịch (A, B, C). Lúc này, giá trị trung vị chính là giá ở giữa trong ba giá đó. Nếu một kẻ xấu thao túng giá của hai sàn giao dịch ( chẳng hạn như A và B), thì giá trị trung vị sẽ bị quyết định bởi giá bị thao túng của A và B, bất kể giá của C có thực tế đến đâu. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống nguồn dữ liệu kép: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, thì trung vị về mặt toán học tương đương với giá trung bình của hai mức giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự biến động mạnh nào từ một nguồn dữ liệu sẽ trực tiếp, không suy giảm, truyền đến giá đánh dấu.
Đối với hầu hết các đồng tiền ảo, độ sâu giao dịch và số lượng sàn giao dịch niêm yết đều rất hạn chế, điều này khiến cho chỉ số giá của chúng dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nêu ở trên. Do đó, sự an tâm mà "chỉ số đa nguồn" mà các sàn giao dịch tuyên bố mang lại, thường chỉ là một ảo giác trong thế giới của các đồng tiền ảo. Nhiều lúc, giá giao dịch mới nhất thường được coi là tương đương với giá đánh dấu.
Nghịch lý oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có nền tảng là giá chỉ số, và nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này mặc dù quan trọng, nhưng lại rất dễ bị tổn thương khi thiếu tính thanh khoản.
Oracle: Cây cầu mong manh kết nối trên chuỗi và dưới chuỗi
Hệ thống blockchain về bản chất là kín và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu bên ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Oracle giá xuất hiện như một hệ thống trung gian, có nhiệm vụ truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy lên chuỗi, cung cấp thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trong nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay và các cơ sở hạ tầng DeFi cốt lõi khác, dữ liệu giá mà oracle cung cấp gần như cấu thành nền tảng cho logic quản lý rủi ro của chúng. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "trung thực" không có nghĩa là nó báo cáo giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại một cách trung thực trạng thái của thế giới bên ngoài mà nó có thể quan sát được, nó không đánh giá xem giá có lệch khỏi cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle: Kẻ tấn công sử dụng các phương pháp kỹ thuật để thay đổi nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường: Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc hạ giá xuống, trong khi các oracle hoạt động bình thường ghi lại và báo cáo giá thị trường "đã bị thao túng" một cách trung thực. Giao thức trên chuỗi không bị xâm nhập, nhưng lại gây ra phản ứng không mong muốn do "thông tin bị nhiễm độc".
Điều thứ hai chính là bản chất của sự kiện Mango Markets và Jelly-My-Jelly: không phải oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
Điểm tấn công: Khi thiếu hụt thanh khoản trở thành vũ khí
Điểm cốt lõi của loại tấn công này là lợi dụng sự yếu kém về tính thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với các tài sản có giao dịch ít, ngay cả những đơn hàng nhỏ cũng có thể gây ra biến động giá mạnh, từ đó tạo cơ hội cho kẻ thao túng.
Cuộc tấn công vào một nền tảng giao dịch vào tháng 10 năm 2022 được coi là "mẫu mực". Kẻ tấn công đã tận dụng sự cạn kiệt thanh khoản cực độ của token quản trị của nó ( khi khối lượng giao dịch hàng ngày không vượt quá 100.000 USD ), thông qua việc đầu tư khoảng 4 triệu USD vào nhiều sàn giao dịch, thành công trong việc đẩy giá token tăng hơn 2300% trong thời gian rất ngắn. "Giá bất thường" này đã được oracle ghi lại đầy đủ và cung cấp cho các giao thức trên chuỗi, dẫn đến việc hạn mức vay của nó tăng vọt, cuối cùng "hợp pháp" làm trống rỗng toàn bộ tài sản của nền tảng ( khoảng 116 triệu USD ).
Phân tích đường tấn công: Năm bước xuyên thủng phòng tuyến giao thức
Lựa chọn mục tiêu: Kẻ tấn công đầu tiên sàng lọc các token mục tiêu, thường có các điều kiện sau: đã ra mắt hợp đồng vĩnh viễn trên một nền tảng sản phẩm phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, có tính thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, dễ bị thao túng.
Huy động vốn: Hầu hết các kẻ tấn công lấy được lượng tiền lớn tạm thời thông qua "vay chớp nhoáng". Cơ chế này cho phép vay và hoàn trả tài sản trong một giao dịch duy nhất, không cần bất kỳ tài sản thế chấp nào, giảm đáng kể chi phí thao túng.
Thị trường giao ngay chớp nhoáng: Kẻ tấn công trong thời gian cực ngắn, đồng thời phát lệnh mua lớn trên tất cả các sàn giao dịch được giám sát bởi oracle. Những đơn hàng này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa cách giá trị thực của nó.
Ô nhiễm từ oracle: Oracle trung thực đọc giá từ các sàn giao dịch bị thao túng ở trên, ngay cả khi áp dụng các cơ chế kháng biến động như trung bình cộng, trung bình trọng số, cũng khó mà chống lại việc thao túng từ nhiều nguồn cùng lúc. Giá chỉ số cuối cùng bị ô nhiễm nghiêm trọng.
Giá đánh dấu nhiễm: Chỉ số giá bị ô nhiễm vào nền tảng sản phẩm phái sinh, ảnh hưởng đến việc tính toán giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu thiệt hại nặng nề, kẻ tấn công có thể thực hiện giao dịch chênh lệch thông qua vị thế ngược hoặc hoạt động cho vay.
"Sổ tay chiến đấu" của kẻ tấn công: Con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường coi "mã nguồn mở và minh bạch" là một đức tính, công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất làm mới giá cả và các chi tiết khác, nhằm mục đích xây dựng lòng tin của người dùng. Tuy nhiên, đối với kẻ tấn công, những thông tin này lại trở thành "sách hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các sàn giao dịch nguồn dữ liệu và trọng số của chúng. Kẻ tấn công dựa vào đó có thể tính toán chính xác, tại mỗi sàn giao dịch có tính thanh khoản yếu nhất, đầu tư bao nhiêu tiền để có thể làm biến dạng chỉ số trọng số cuối cùng ở mức tối đa. "Kỹ thuật thuật toán" này khiến cho việc tấn công trở nên có thể kiểm soát, có thể dự đoán, và chi phí được tối thiểu hóa.
Toán học rất đơn giản, nhưng con người thì phức tạp.
Săn bắn: Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo sẽ chọn "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương thức tấn công phổ biến, nhưng lý do chính khiến sự kiện "Jelly-My-Jelly" có thể xảy ra trên nền tảng này và gây ra hậu quả nghiêm trọng, là do cấu trúc thanh khoản và cơ chế thanh lý đặc trưng của nền tảng này. Những thiết kế nhằm nâng cao trải nghiệm người dùng và hiệu quả vốn này, mặc dù đầy tính đổi mới, nhưng cũng vô tình cung cấp cho kẻ tấn công một cơ hội.