マーク価格：公正判官かそれとも連鎖清算の導火線か？

2025年3月、取引量の少ないトークンJELLYがある取引プラットフォームで千万ドル規模の清算バブルを引き起こしました。驚くべきことに、攻撃者は従来のコードの脆弱性を利用するのではなく、プラットフォームのコアセキュリティメカニズムであるマーク価格を武器に変えました。

これはハッキング攻撃ではなく、システムルールに対する「コンプライアンス攻撃」です。攻撃者はプラットフォームの公開された計算ロジックとリスク管理メカニズムを利用して、市場とトレーダーにとって非常に致命的な「ノーコード攻撃」を引き起こしました。マーク価格は本来市場の「中立と安全」のアンカーであるべきですが、この事件では盾から刃へと変わってしまいました。

この記事では、アルトコインの永久契約市場におけるマーク価格メカニズムのシステミックリスクを深く分析し、この攻撃事件を詳細に振り返ります。この事件は、オラクル設計の構造的脆弱性や革新的な流動性プールの両刃の剣的特性を明らかにするだけでなく、現在の主流の清算ロジックが極端な市場状況下でユーザー資金を保護する際の内在的非対称性をも暴露しました。

永続契約の核心的逆説:偽の安全感がもたらす清算メカニズムの偏り

マーク価格:一場誤って安全だと思われたコンセンサスゲーム

マーク価格の核心原則は「指数価格」を中心に構築された三値中央値メカニズムです。指数価格は、複数の主流現物プラットフォームでのその資産の価格を加重平均して算出され、プラットフォームや地域を超えた公正な参考価格を提供することを目的としています。

典型的マーク価格計算方式は以下の通りです:

マーク価格=中央値(Price1、Price2、最終取引Price)

中央値の導入は、異常値を排除し、価格の安定性を向上させることを目的としています。しかし、この設計の安全性は、入力データソースの数が十分で、分布が合理的で、流動性が強く、協調的に操作されにくいという仮定に完全に基づいています。

しかし、現実には、ほとんどのアルトコインの現物市場は非常に薄弱です。一旦攻撃者がいくつかの流動性の低いプラットフォームの価格をコントロールできれば、指数価格を「汚染」し、悪意のあるデータを式を通じて正当な形でマーク価格に注入できます。この攻撃は最小限のコストで大規模なレバレッジ清算を引き起こし、連鎖反応を引き起こすことができます。

言い換えれば、アグリゲーションメカニズムの本来の意図はリスクを分散することですが、流動性が希薄な市場では、逆に攻撃者が制御可能な「中央集権的な弱点」が形成されます。デリバティブプラットフォームがそのルールの透明性と予測可能性を強調すればするほど、攻撃者は「プログラム的にルールを利用」し、合規的な破壊経路を構築することができます。

清算エンジン:プラットフォームの盾であり、また刃である

市場価格が不利な方向に急速に変動する際、トレーダーの証拠金は浮損に侵食されます。一旦残りの証拠金が「維持証拠金率」を下回ると、清算エンジンが起動します。

これらのプロセスにおいて、最も重要なトリガー基準はマーク価格であり、プラットフォーム自身の最新の取引価格ではありません。これは、現在の市場取引価格があなたの清算ラインに達していなくても、その「見えない」マーク価格が達成されれば、清算が即座にトリガーされることを意味します。

より警戒すべきは「強制決済」メカニズムです。多くの取引所は、ロスカットリスクを回避するために、やや保守的な清算パラメータを採用しています。強制決済が発動した場合、たとえ決済価格が実際の損失がゼロになる価格よりも良好であっても、プラットフォームは通常この「強制決済の余剰」を返還せず、直接プラットフォームの保険基金に注入します。これにより、トレーダーは「まだ保証金があるのに、早期に決済された」という錯覚を抱き、口座が直接ゼロになってしまいます。

このメカニズムは流動性の低い資産で特に一般的です。プラットフォームは自身のリスクヘッジのために、清算ラインをより保守的に設定し、価格変動の中でポジションが「早期に清算される」ことを容易にします。その論理は合理的ですが、結果としてプラットフォームとトレーダーの極端な市場状況下での利益の立場に微妙なズレが生じます。

清算エンジンは中立的なリスク管理ツールであるべきですが、利益の帰属、パラメータの選択、トリガーのロジックにおいて、プラットフォームの収益化の傾向を持っています。

マーク価格の失効は清算エンジンの歪みを引き起こす

プラットフォームの損失回避の傾向により、インデックス価格とマーク価格の激しい変動が、この強制ロスカットラインの前(後)の移動をさらに悪化させました。

マーク価格の理論は、複数のソースデータと中央値アルゴリズムを統合することで、公平で操作に強い価格基準を提供します。しかし、この理論は流動性の豊富な主要資産に適用される場合には成立するかもしれませんが、流動性が薄く、取引所が集中しているアルトコインに直面した場合、その有効性は厳しい挑戦に直面します。

中央値の失効:データソース集中の統計学的ジレンマ

• ビッグデータセットの有効性:ある価格指数が10の独立した高流動性のデータソースを含んでいると仮定します。その中の1つのデータソースが何らかの理由で極端な価格を示した場合、中央値アルゴリズムはそれを簡単に外れ値として認識し無視し、最終価格として中央値を取ることで指数の安定性を保ちます。

• 小さなデータセットの脆弱性: 今、私たちは典型的なアルトコインのシナリオを考えています。

• 三データソースシナリオ: もしあるシェイプコインのマーク価格指数が、取引所(A、B、C)の現物価格のみを含む場合、この時、中位数は三つの価格の中で中央に位置するものになります。もし悪意のある行為者が同時に二つの取引所(、例えばAとB)の価格を操作した場合、Cの価格がどれほど真実であっても、中位数はAとBの操作された価格によって決定されます。この時、中位数アルゴリズムの保護効果はほぼゼロになります。

• ダブルデータソースのシナリオ: インデックスが2つのデータソースのみを含む場合、中央値は数学的に2つの価格の平均値と等価です。この場合、アルゴリズムは異常値を除外する能力を完全に失います。どちらかのデータソースの激しい変動は、直接的に、減衰することなくマーク価格に伝播します。

ほとんどのアルトコインにとって、その取引の深さと上場取引所の数は非常に限られており、これによりその価格指数は上記の「小データセット」の罠に陥りやすくなります。そのため、取引所が主張する「マルチソース指数」による安心感は、アルトコインの世界ではしばしば幻想に過ぎません。多くの場合、最新の取引価格はマーク価格と同義になります。

オラクルのジレンマ: 現物流動性の枯渇が武器になる時

マーク価格の根基は指数価格であり、指数価格の源頭はオラクルです。CEXでもDEXでも、オラクルはチェーン上とチェーン下の間の情報伝達の橋梁の役割を担っています。しかし、この橋梁は重要であるにもかかわらず、流動性が不足しているときには非常に脆弱です。

オラクル:オンチェーンとオフチェーンをつなぐ脆弱な橋

ブロックチェーンシステムは本質的に閉じられた決定論的なものであり、スマートコントラクトは、資産の市場価格などのチェーン外データに主动的にアクセスすることができません。価格オラクルが登場しました。それはミドルウェアシステムであり、オフチェーンデータを安全かつ信頼できる形でオンチェーンに送信し、スマートコントラクトの運用に"現実世界"の情報入力を提供する役割を果たします。

永続的な契約取引プラットフォームや貸出協定などの核心的なDeFiインフラにおいて、オラクルが提供する価格データは、そのリスク管理ロジックの基盤をほぼ構成しています。しかし、よく見落とされる事実は、「誠実な」オラクルが「合理的な」価格を報告していることを意味するわけではないということです。オラクルの責任は、観察できる外部世界の状態を正確に記録することであり、価格が基本的な要因から逸脱しているかどうかを判断することではありません。この特性は、まったく異なる2つの攻撃パスを明らかにしています:

• オラクル攻撃: 攻撃者は技術的手段を用いてオラクルのデータソースやプロトコルを改ざんし、誤った価格を報告させる。

• 市場操作:攻撃者が実際に外部市場を操作し、意図的に価格を引き上げたり引き下げたりする一方で、正常に機能しているオラクルはこの"操作された"市場価格を正確に記録し報告します。オンチェーンプロトコルは侵入されていないが、"情報中毒"により予期しない反応が生じます。

後者、正にMango MarketsとJelly-My-Jelly事件の本質: 予言者が攻撃されたのではなく、その"観測ウィンドウ"が汚染された。

攻撃の支点:流動性不足が武器になるとき

この種の攻撃の核心は、ターゲット資産の現物市場における流動性の劣位を利用することにあります。取引が薄い資産においては、少額の注文であっても価格が激しく変動する可能性があり、これが操縦者にとっての隙間を提供します。

2022年10月のMango Marketsへの攻撃は「典型的」と言えます。攻撃者Avraham Eisenbergは、そのガバナンストークンMNGOの極度の流動性枯渇(の際、日次取引高が10万ドル未満)であるにもかかわらず、複数の取引所に約400万ドルを集中投入してMNGOを購入することで、MNGOの価格を非常に短時間で2300%以上引き上げることに成功しました。この「異常価格」はオラクルによって完全に記録され、オンチェーンプロトコルに供給され、結果的に借入限度額が暴騰し、最終的に「合法的に」プラットフォームの全資産(約1.16億ドル)を掏り取ることとなりました。

攻撃パスの詳細:プロトコル防線を5ステップで突破する

1. 目標選択:攻撃者はまず目標トークンを選定し、通常は以下の条件を備えている:ある主流のデリバティブプラットフォームにパーペチュアル契約が上場されている;オラクル価格がいくつかの知られた流動性の薄いスポット取引所から来ている;日次取引量が低く、オーダーブックが疎で、操作が容易である。

2. 資本調達: 大多数の攻撃者は「フラッシュローン」を通じて一時的な巨額資金を得ています。このメカニズムは、単一の取引で資産を借り入れ、返済することを可能にし、担保なしで操作コストを大幅に削減します。

3. 現物市場のフラッシュアタック: 攻撃者は非常に短時間で、すべてのオラクルが監視する取引所で大量の買い注文を同時に出します。これらの注文は迅速に売り手の注文を掃除し、価格を高騰させます—実際の価値から大きく逸脱します。

4. オラクル汚染: オラクルは上述の操作された取引所から忠実に価格を読み取りますが、中央値や加重平均などのボラティリティ対策を採用しても、同時に複数のソースからの操作には対抗できません。最終的に得られるインデックス価格は深刻に汚染されます。

5. マーク価格感染:汚染された指数価格がデリバティブプラットフォームに入り、マーク価格計算に影響を与える。清算エンジンがリスク範囲を誤判定し、大規模な"清算"を引き起こし、トレーダーは巨額の損失を被り、攻撃者は逆ポジションや借入操作を通じてアービトラージを実現することができる。

攻撃者の「戦闘マニュアル」：透明性の二律背反

CEXでもDEXプロトコルでも、常に「オープンソースで透明性がある」ことが美徳とされ、オラクルメカニズム、データソースの重み、価格の更新頻度などの詳細が公開され、ユーザーの信頼を築くことを目的としています。しかし、攻撃者にとって、これらの情報は攻撃計画を立てるための「説明書」となってしまいます。

ある取引プラットフォームを例にとると、そのオラクルアーキテクチャはすべてのデータソース取引所とその重みを公開しています。攻撃者はこれに基づいて、各流動性が最も弱い取引所にどれだけの資金を投入すれば最終的な加重指数を最大限に歪めることができるかを正確に計算できます。このような「アルゴリズムエンジニアリング」により、攻撃が制御可能で予測可能になり、コストが最小化されます。

数学は単純だが、人間は複雑だ。

!

ハンティンググラウンド —— ある取引プラットフォームの構造的リスク分析

攻撃の原理を理解した後、"攻撃者"は次に、実施するのに適した"戦場"——ある取引プラットフォームを選択する必要があります。オラクルの操作は一般的な攻撃手段ですが、"Jelly-My-Jelly"事件がこのプラットフォーム上で発生し、深刻な結果を引き起こした根本的な原因は、このプラットフォーム特有の流動性構造と清算メカニズムにあります。ユーザー体験と資本効率を向上させることを目的としたこれらの設計は革新に満ちていますが、攻撃者にとって理想的な"ハンティンググラウンド"を意図せず提供してしまいました。

HLP金庫:民主化されたマーケットメーカーと清算カウンターパーティ

ある取引プラットフォームのコアなイノベーションの一つは、そのHLP金庫——プロトコルによって統一管理され、二重の機能を担う資金プールです。

まず、HLPはプラットフォームのアクティブマーケットメーカーとして機能します。コミュニティユーザーがUSDCを金庫に預け、プラットフォームの自動化されたマーケットメイキング戦略に参加し、利益(または損失)を比例配分することを可能にします。この「民主化」されたマーケットメイキングメカニズムにより、HLPは多くの流動性の不足したアルトコインに対して継続的に売買のオーダーブックを提供することができます。このため、JELLYのような時価総額が小さく流動性が極めて低いトークンでさえ、このプラットフォーム上で数百万ドル規模のレバレッジポジションを支えることができるのです——これは従来の取引所では実現が難しいことです。

しかし、このデザインは不