當標記價格成爲武器：解析永續合約市場的系統性風險

2025年3月，一個日交易額不足200萬美元的冷門代幣JELLY在Hyperliquid上引發了一場千萬美元級別的清算風暴。攻擊者利用平台公開的計算邏輯、算法流程與風險控制機制，制造了一場對市場和交易者都極具殺傷力的"無代碼攻擊"。本應作爲市場"中立與安全"之錨的標記價格，在這一事件中從護盾變成了利刃。

本文將從理論與實戰兩個層面，深入分析山寨幣永續合約市場中標記價格機制的系統性風險，並對Jelly-My-Jelly攻擊事件進行詳盡復盤。該事件不僅揭示了預言機設計的結構性脆弱、創新型流動性池（HLP Vault）的雙刃劍屬性，更暴露了當前主流清算邏輯在極端行情下對用戶資金保護的內在不對稱性。

第一部分：永續合約的核心悖論 - 虛假安全感帶來的清算機制傾斜

1.1 標記價格：一場誤以爲安全的共識遊戲帶來的清算傾向性

標記價格的核心原則是圍繞"指數價格"構建的三值中位機制。指數價格通過加權平均多個主流現貨平台上該資產的價格計算得出，意在提供一個跨平台、跨地域的公允參考價。

典型的標記價格計算方式如下：

Mark Price = Median (Price1, Price2, Last Traded Price)

• Price1 = 指數價格 × (1 + 資金費率基差)
• Price2 = 指數價格 + 移動平均基差
• Last Traded Price = 衍生品平台上的最新成交價

中位數的引入本意是剔除異常值、提升價格穩定性。但這一設計的安全性完全建立在輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱的假設之上。

然而，在現實中，絕大多數山寨幣的現貨市場極其薄弱。一旦攻擊者能夠控制幾個低流動性平台的價格，即可"污染"指數價格，從而將惡意數據通過公式合法地注入標記價格。這種攻擊能以最小的成本撬動大規模的槓杆清算，引發連鎖反應。

1.2 清算引擎：平台的盾，也是刃

當市場價格朝不利方向快速變動時，交易者的保證金將被浮虧侵蝕。一旦剩餘保證金跌破"維持保證金率"，清算引擎將啓動。最核心的觸發標準是標記價格，而非平台自身的最新成交價。

更值得警惕的是"強制平倉"（或者說提前清算）機制。許多交易所爲避免穿倉風險，風控系統往往採用偏保守的清算參數。當觸發強平後，即便平倉價格優於實際虧損歸零的價格，平台也通常不會返還這部分"強平盈餘"，而是會將其直接注入平台的保險基金。

清算引擎本應是中性的風險控制工具，但在收益歸屬、參數選擇、觸發邏輯上，卻具備了平台利潤化的傾向。

1.3 標記價格的失效導致清算引擎的失真

標記價格的理論通過聚合多源數據和中位數算法來提供一個公平、抗操縱的價格基準。然而，這一理論在應用於流動性充裕的主流資產時或許成立，但在面對流動性稀薄、交易場所集中的山寨幣時，其有效性將面臨嚴峻挑戰。

對於絕大多數山寨幣而言，其交易深度和上市交易所數量都非常有限，這使得它們的價格指數極易落入"小數據集"的陷阱。因此，交易所聲稱的"多源指數"所帶來的安全感，在山寨幣的世界裏往往只是一種幻覺。很多時候，最新成交價往往與標記價格劃上等號。

第二部分：預言機困境：當現貨流動性枯竭成爲武器

2.1 預言機：連接鏈上與鏈下的脆弱橋梁

價格預言機是一個中間件系統，負責將鏈下數據安全、可信地傳輸至鏈上，爲智能合約的運作提供"現實世界"的信息輸入。然而，一個"誠實"的預言機，並不意味着它報告的是"合理"的價格。預言機的職責僅是如實記錄其所能觀察到的外部世界狀態，它不判斷價格是否偏離基本面。

2.2 攻擊的支點：當流動性缺陷成爲武器

這類攻擊的核心在於利用目標資產在現貨市場上的流動性劣勢。對於交易稀薄的資產，即便是小額訂單也可能引起價格劇烈波動，從而爲操縱者提供可乘之機。

2022年10月對Mango Markets的攻擊堪稱"典範"。攻擊者利用MNGO的極度流動性枯竭，通過在多個交易所集中投入約400萬美元買入，成功將MNGO價格在極短時間內拉升超過2300%。這一"異常價格"被預言機完整記錄並喂送給鏈上協議，致使其借款額度暴漲，最終"合法地"將平台全部資產掏空。

攻擊路徑詳解：

1. 目標選擇
2. 資本籌集
3. 現貨市場閃擊
4. 預言機污染
5. 標記價格感染

第三部分：獵殺場 - Hyperliquid 的結構性風險剖析

3.1 HLP 金庫：民主化的做市商與清算對手盤

Hyperliquid的HLP金庫是一個由協議統一管理、肩負雙重職能的資金池。它既充當平台的主動做市商，又承擔平台的"清算止損後盾"。這種設計不僅吸引了投機者，也吸引了更危險的存在：蓄意操縱市場的攻擊者。

3.2 清算機制的結構性缺陷

Jelly-My-Jelly事件暴露了Hyperliquid在極端市場條件下的一個致命漏洞，其根源是HLP金庫內部的資金架構和清算模式。清算儲備池與其他執行做市等策略的資金池之間並無嚴格的隔離機制，它們共享同一筆抵押品。

當清算儲備池自身已經陷入深度虧損時，由於它可以調用整個HLP金庫中其他策略池的抵押資產，系統判定整個HLP金庫"整體健康度"依然良好，因而沒有觸發風控機制。這種共享抵押機制的設計，意外繞過了ADL這一系統性風險防線。

第四部分：案例分析 - Jelly-My-Jelly 攻擊的完整復盤

4.1 階段一：布局 - 價值400萬美元的空頭陷阱

3月26日，JELLY的現貨價格在0.0095美元附近震蕩時，攻擊者開始實施第一階段。攻擊者通過自我交易方式，在JELLY的永續合約市場上構建了一個價值約400萬美元的空頭頭寸，並輔以總計300萬美元的多頭對敲倉位。

4.2 階段二：突襲 - 現貨市場的閃電戰

攻擊者在多個中心化和去中心化交易所同步發起買入攻勢。JELLY現貨價格在短時間內被迅速拉升，從0.008美元起漲，不到一小時價格飆升超500%，觸及0.0517美元的峯值。

4.3 階段三：引爆 - 預言機污染與清算瀑布

現貨價格的劇烈拉升迅速傳導至Hyperliquid的標記價格系統。標記價格的跳漲直接引爆了攻擊者先前部署的空頭倉位。由於HLP金庫作爲平台的清算對手方，根據智能合約邏輯無條件接盤，整個高風險倉位直接壓向HLP。

4.4 階段四：餘波 - 緊急下架與市場反思

面對來自市場和社區的巨大壓力，Hyperliquid驗證者節點緊急投票，通過多項應對措施：立即並永久下架JELLY永續合約；由基金會出資，對所有非攻擊地址的受影響用戶進行全額補償。

結束語 - 永續合約的"標記幻象"與防御命題

Jelly-My-Jelly事件中的攻擊者並未依賴復雜的合約漏洞或加密學手段，他們只是識破並利用了標記價格生成機制的數學結構性缺陷 - 小數據源、中位數聚合、流動性碎片化，並且集合市場的清算機制來運作。

標記價格操控的根本問題在於：

• 預言機數據的高度相關性
• 聚合算法對異常值的容忍性
• 清算系統的"盲信"問題

標記價格不應該是一個"數學上正確但博弈上脆弱"的值，而應是一個能在真實市場壓力下維持穩定性的機制產物。DeFi的理想在於用代碼構建信任，但代碼並非完美，它也會固化偏見、放大預設缺陷，甚至成爲攻擊者手中的武器。

Jelly-My-Jelly事件並非偶然，也不會是最後一次。它是一個警告：在沒有深入理解博弈結構之前，任何基於"確定性"的清算機制，都是潛在的套利入口。機制走向成熟，需要的不僅是更快的撮合速度和更高的資本效率，更需要一種機制設計層面的自省能力，能識別並堵住這些被"數學美感"掩蓋的系統性風險。

願我們始終保持着一顆敬畏市場之心。

數學是單純的，人是復雜的。只有歷史博弈是重復的。知其然，且知其所以然。