preço de marca: juiz justo ou o estopim da liquidação em cadeia?
Em março de 2025, um token de baixo volume de negociação chamado JELLY desencadeou uma tempestade de liquidação de milhões de dólares em uma plataforma de negociação. O que surpreendeu foi que o atacante não utilizou vulnerabilidades de código tradicionais, mas transformou o mecanismo de segurança central da plataforma — preço de marca — em uma arma.
Isto não foi um ataque hacker, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica de cálculo e os mecanismos de controle de risco publicados pela plataforma, criando um "ataque sem código" que foi extremamente letal para o mercado e os traders. O preço de marca deveria servir como um âncora de "neutralidade e segurança" do mercado, mas neste evento transformou-se de um escudo em uma lâmina.
Este artigo irá analisar profundamente os riscos sistêmicos do mecanismo de preço de marca no mercado de contratos perpétuos de criptomoedas, e fará uma revisão detalhada do incidente de ataque. Este evento não só revelou a vulnerabilidade estrutural do design de oráculos, como também a natureza de espada de dois gumes das pools de liquidez inovadoras, expondo ainda a assimetria inerente da lógica de liquidação atual na proteção dos fundos dos usuários em condições extremas.
A contradição central dos contratos perpétuos: o viés do mecanismo de liquidação causado pela falsa sensação de segurança
preço de marca: uma partida de consenso que pensávamos ser segura
O princípio central do preço de marca é construído em torno de um mecanismo de mediana de três valores baseado no "preço índice". O preço índice é calculado através da média ponderada dos preços desse ativo em várias plataformas de negociação de referência, com o intuito de fornecer um preço de referência justo que seja aplicável em diferentes plataformas e regiões.
Um método típico de cálculo do preço de marca é o seguinte:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
A introdução da mediana tem como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se totalmente na suposição de que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é alta e é difícil de ser manipulada de forma coordenada.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que os atacantes conseguem controlar os preços de algumas plataformas de baixa liquidez, podem "poluir" o preço do índice, injetando dados maliciosos de forma legítima através de fórmulas no preço de marca. Este tipo de ataque pode desencadear liquidações em grande escala com um custo mínimo, provocando uma reação em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar riscos, mas em mercados com liquidez escassa, acaba formando uma "vulnerabilidade centralizada" que pode ser controlada pelos atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e previsibilidade de suas regras, mais os atacantes conseguem "explorar programaticamente as regras", criando um caminho de destruição conforme as normas.
Motor de liquidação: o escudo da plataforma, também é a lâmina
Quando o preço do mercado se move rapidamente em uma direção desfavorável, a margem do trader será corroída por perdas não realizadas. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o mecanismo de liquidação será acionado.
Em todos esses processos, o critério central de ativação é o preço de marca, e não o último preço de negociação da plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido sua linha de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será imediatamente ativada.
É ainda mais preocupante o mecanismo de "liquidação forçada". Muitas bolsas adotam parâmetros de liquidação mais conservadores para evitar o risco de liquidação negativa. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja melhor do que o preço real em que as perdas se anulam, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas injetá-la-á diretamente no fundo de seguro da plataforma. Isso leva os negociantes a ter a impressão de que "ainda há margem, mas estão sendo liquidadas antecipadamente", resultando na anulação direta da conta.
Este mecanismo é particularmente comum em ativos com baixa liquidez. Para se proteger dos riscos, a plataforma ajusta a linha de liquidação de forma mais conservadora, o que torna mais fácil que as posições sejam "fechadas antecipadamente" durante as flutuações de preço. A lógica é razoável, mas o resultado leva a um sutil desalinhamento dos interesses da plataforma e dos traders em condições extremas.
O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas na atribuição de rendimentos, na escolha de parâmetros e na lógica de ativação, apresenta uma tendência à rentabilização da plataforma.
preço de marca da falha leva à distorção do motor de liquidação
Sob a tendência de aversão à perda na plataforma, a volatilidade acentuada dos preços do índice e do preço de marca agravou ainda mais o deslocamento da linha de liquidação forçada após (.
A teoria do preço de marca fornece uma referência de preço justa e resistente à manipulação através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos de mainstream com alta liquidez, mas sua eficácia enfrentará desafios severos quando confrontada com criptomoedas de baixa liquidez e locais de negociação concentrados.
A falha da mediana: o dilema estatístico da concentração da fonte de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo da mediana pode facilmente identificá-la como um valor discrepante e ignorá-la, tomando o valor do meio como preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em pequenos conjuntos de dados: agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: se o índice de preço de marca de uma moeda alternativa incluir apenas os preços à vista das três exchanges )A, B, C(. Nesse caso, a mediana é o valor que está no meio dos três preços. Se um ator malicioso manipular simultaneamente os preços de duas dessas exchanges ), por exemplo, A e B(, então, não importa quão verdadeiro seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a função de proteção do algoritmo de mediana é quase zero.
Cenário de duas fontes de dados: se o índice contiver apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma das fontes de dados será transmitida diretamente e sem atenuação para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são muito limitados, o que faz com que o índice de preços delas caia facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Portanto, a sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas, muitas vezes é apenas uma ilusão no mundo das altcoins. Muitas vezes, o preço de venda mais recente é frequentemente igual ao preço de marca.
O Dilema dos Oráculos: Quando a Liquidez Spot se Torna uma Arma
O preço de marca é baseado no preço índice, e a origem do preço índice é o oráculo. Seja CEX ou DEX, o oráculo desempenha o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, essa ponte, embora crucial, é extremamente frágil em momentos de escassez de liquidez.
) Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não podem acessar proativamente dados fora da cadeia, como o preço de mercado dos ativos. Os oráculos de preços surgem como um sistema de middleware, responsável por transmitir dados fora da cadeia de forma segura e confiável para a cadeia, fornecendo entradas de informação do "mundo real" para a operação dos contratos inteligentes.
Em plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo e outras infraestruturas DeFi essenciais, os dados de preços fornecidos pelos oráculos constituem quase a pedra angular da sua lógica de gestão de riscos. No entanto, um fato frequentemente negligenciado é: um oráculo "honesto" não significa que ele esteja a relatar um preço "razoável". O dever do oráculo é apenas registrar com precisão o estado do mundo externo que pode observar; ele não julga se o preço se desvia dos fundamentos. Esta característica revela dois tipos de caminhos de ataque completamente distintos:
Ataque de oráculo: O atacante manipula a fonte de dados ou o protocolo do oráculo por meios técnicos, fazendo com que ele reporte preços errados.
Manipulação de mercado: os atacantes operam no mercado externo para manipular intencionalmente os preços para cima ou para baixo, enquanto o oráculo que funciona normalmente registra e reporta o preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas gera reações inesperadas devido à "contaminação de informações".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não é que o oráculo tenha sido comprometido, mas sim que sua "janela de observação" foi contaminada.
ponto de ataque: quando a falta de liquidez se torna uma arma
O cerne deste tipo de ataque reside em aproveitar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca negociação, até mesmo ordens de pequeno valor podem provocar flutuações de preço acentuadas, oferecendo assim uma oportunidade para os manipuladores.
O ataque a Mango Markets em outubro de 2022 é considerado um "exemplo". O atacante Avraham Eisenberg utilizou a extrema exaustão de liquidez de seu token de governança MNGO ###, que na época tinha um volume de negociação diário inferior a 100 mil dólares (, investindo cerca de 4 milhões de dólares em várias exchanges para comprar, conseguindo assim elevar o preço do MNGO em mais de 2300% em um curto espaço de tempo. Este "preço anômalo" foi completamente registrado pelo oráculo e alimentado ao protocolo on-chain, resultando em um aumento explosivo no limite de empréstimo, e por fim, "legalmente" esvaziando todos os ativos da plataforma ), aproximadamente 116 milhões de dólares (.
Análise do caminho de ataque: cinco passos para ultrapassar a linha de defesa do protocolo
Seleção de Alvo: O atacante primeiro filtra os tokens-alvo, que geralmente possuem as seguintes características: foram lançados contratos perpétuos em alguma plataforma de derivativos mainstream; o preço do oráculo vem de algumas bolsas de spot conhecidas e com baixa liquidez; o volume diário de negociação é baixo, o livro de ordens é esparso e é fácil de manipular.
Angariação de Capital: A maioria dos atacantes obtém grandes quantias de dinheiro temporárias através de "empréstimos relâmpago". Este mecanismo permite emprestar e devolver ativos numa única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
O mercado à vista sofre um ataque relâmpago: os atacantes em um período muito curto, em todas as bolsas monitoradas pelo oráculo, emitem simultaneamente uma grande quantidade de ordens de compra. Esses pedidos rapidamente eliminam as ordens de venda, levando o preço a níveis elevados - muito distantes do seu valor real.
Poluição de Oráculos: Os oráculos lêem fielmente os preços das exchanges manipuladas mencionadas acima, e mesmo utilizando mecanismos de resistência à volatilidade, como a mediana e a média ponderada, é difícil resistir a manipulações simultâneas de múltiplas fontes. O preço do índice obtido acaba sendo severamente poluído.
preço de marca infectado: o preço do índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação erra a faixa de risco, acionando uma "liquidação" em massa, resultando em grandes perdas para os traders, enquanto os atacantes podem realizar arbitragem através de operações de posições reversas ou empréstimos.
"Manual de Operações" do Atacante: a espada de dois gumes da transparência
Quer seja um CEX ou um protocolo DEX, frequentemente exalta-se a "transparência de código aberto" como uma virtude, divulgando detalhes como o mecanismo de oráculos, o peso das fontes de dados e a frequência de atualização dos preços, com o objetivo de estabelecer a confiança do usuário. No entanto, para os atacantes, essas informações tornam-se um "manual" para elaborar planos de ataque.
Tomando como exemplo uma determinada plataforma de negociação, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os seus pesos. Com base nisso, um atacante pode calcular com precisão quanto capital investir em cada bolsa com menor liquidez, podendo distorcer ao máximo o índice ponderado final. Este tipo de "engenharia algorítmica" torna o ataque controlável, previsível e minimiza os custos.
A matemática é muito simples, mas as pessoas são muito complexas.
Caça ao Caçador —— Análise dos riscos estruturais de uma plataforma de negociação
Após compreender os princípios do ataque, o "atacante" deve escolher o "campo de batalha" mais adequado para a execução — uma plataforma de negociação. Embora a manipulação de oráculos seja uma técnica de ataque comum, a razão pela qual o incidente "Jelly-My-Jelly" pôde ocorrer nessa plataforma e causar consequências graves reside na arquitetura de liquidez e no mecanismo de liquidação únicos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência de capital, embora cheios de inovação, também, inadvertidamente, proporcionaram ao atacante um "campo de caça" ideal.
) HLP Vault: Market makers e contrapartes de liquidação democratizados
Uma das inovações centrais de uma plataforma de negociação é o seu HLP Vault - um pool de fundos gerido de forma unificada pelo protocolo, que desempenha funções duplas.
Primeiro, HLP atua como o market maker ativo da plataforma. Permite que os usuários da comunidade depositem USDC no tesouro, participem da estratégia de market making automatizada da plataforma e compartilhem os lucros ### ou as perdas ( proporcionalmente. Este mecanismo de market making "democratizado" permite que o HLP forneça continuamente cotações de compra e venda para várias altcoins com pouca liquidez. Por isso, mesmo tokens de menor capitalização, como JELLY, que têm liquidez extremamente baixa, conseguem suportar posições alavancadas de milhões de dólares na plataforma - algo difícil de alcançar em bolsas tradicionais.
No entanto, esse design não
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
5
Partilhar
Comentar
0/400
faded_wojak.eth
· 22h atrás
Já foi tudo tirado de mim.
Ver originalResponder0
SadMoneyMeow
· 22h atrás
Mais uma vez perdi dinheiro.
Ver originalResponder0
ZeroRushCaptain
· 22h atrás
Outra vez, o local do grande fracasso dos idiotas a fundir aço...
Ver originalResponder0
SchroedingerMiner
· 22h atrás
Negociação de criptomoedas dois anos ganha duzentos milhões
Ver originalResponder0
FlashLoanLord
· 22h atrás
Ainda há quem se lembre de quando o ido puxou o tapete.
Risco do mecanismo de preço de marca: armadilhas de liquidação no mercado de Futuros Perpétuos de alts
preço de marca: juiz justo ou o estopim da liquidação em cadeia?
Em março de 2025, um token de baixo volume de negociação chamado JELLY desencadeou uma tempestade de liquidação de milhões de dólares em uma plataforma de negociação. O que surpreendeu foi que o atacante não utilizou vulnerabilidades de código tradicionais, mas transformou o mecanismo de segurança central da plataforma — preço de marca — em uma arma.
Isto não foi um ataque hacker, mas sim um "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica de cálculo e os mecanismos de controle de risco publicados pela plataforma, criando um "ataque sem código" que foi extremamente letal para o mercado e os traders. O preço de marca deveria servir como um âncora de "neutralidade e segurança" do mercado, mas neste evento transformou-se de um escudo em uma lâmina.
Este artigo irá analisar profundamente os riscos sistêmicos do mecanismo de preço de marca no mercado de contratos perpétuos de criptomoedas, e fará uma revisão detalhada do incidente de ataque. Este evento não só revelou a vulnerabilidade estrutural do design de oráculos, como também a natureza de espada de dois gumes das pools de liquidez inovadoras, expondo ainda a assimetria inerente da lógica de liquidação atual na proteção dos fundos dos usuários em condições extremas.
A contradição central dos contratos perpétuos: o viés do mecanismo de liquidação causado pela falsa sensação de segurança
preço de marca: uma partida de consenso que pensávamos ser segura
O princípio central do preço de marca é construído em torno de um mecanismo de mediana de três valores baseado no "preço índice". O preço índice é calculado através da média ponderada dos preços desse ativo em várias plataformas de negociação de referência, com o intuito de fornecer um preço de referência justo que seja aplicável em diferentes plataformas e regiões.
Um método típico de cálculo do preço de marca é o seguinte:
Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)
A introdução da mediana tem como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se totalmente na suposição de que a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é alta e é difícil de ser manipulada de forma coordenada.
No entanto, na realidade, a maioria dos mercados à vista de altcoins é extremamente fraca. Assim que os atacantes conseguem controlar os preços de algumas plataformas de baixa liquidez, podem "poluir" o preço do índice, injetando dados maliciosos de forma legítima através de fórmulas no preço de marca. Este tipo de ataque pode desencadear liquidações em grande escala com um custo mínimo, provocando uma reação em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar riscos, mas em mercados com liquidez escassa, acaba formando uma "vulnerabilidade centralizada" que pode ser controlada pelos atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e previsibilidade de suas regras, mais os atacantes conseguem "explorar programaticamente as regras", criando um caminho de destruição conforme as normas.
Motor de liquidação: o escudo da plataforma, também é a lâmina
Quando o preço do mercado se move rapidamente em uma direção desfavorável, a margem do trader será corroída por perdas não realizadas. Assim que a margem restante cair abaixo da "taxa de margem de manutenção", o mecanismo de liquidação será acionado.
Em todos esses processos, o critério central de ativação é o preço de marca, e não o último preço de negociação da plataforma. Isso significa que, mesmo que o preço de negociação atual do mercado ainda não tenha atingido sua linha de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será imediatamente ativada.
É ainda mais preocupante o mecanismo de "liquidação forçada". Muitas bolsas adotam parâmetros de liquidação mais conservadores para evitar o risco de liquidação negativa. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja melhor do que o preço real em que as perdas se anulam, a plataforma geralmente não devolve essa parte do "excedente da liquidação forçada", mas injetá-la-á diretamente no fundo de seguro da plataforma. Isso leva os negociantes a ter a impressão de que "ainda há margem, mas estão sendo liquidadas antecipadamente", resultando na anulação direta da conta.
Este mecanismo é particularmente comum em ativos com baixa liquidez. Para se proteger dos riscos, a plataforma ajusta a linha de liquidação de forma mais conservadora, o que torna mais fácil que as posições sejam "fechadas antecipadamente" durante as flutuações de preço. A lógica é razoável, mas o resultado leva a um sutil desalinhamento dos interesses da plataforma e dos traders em condições extremas.
O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas na atribuição de rendimentos, na escolha de parâmetros e na lógica de ativação, apresenta uma tendência à rentabilização da plataforma.
preço de marca da falha leva à distorção do motor de liquidação
Sob a tendência de aversão à perda na plataforma, a volatilidade acentuada dos preços do índice e do preço de marca agravou ainda mais o deslocamento da linha de liquidação forçada após (.
A teoria do preço de marca fornece uma referência de preço justa e resistente à manipulação através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos de mainstream com alta liquidez, mas sua eficácia enfrentará desafios severos quando confrontada com criptomoedas de baixa liquidez e locais de negociação concentrados.
A falha da mediana: o dilema estatístico da concentração da fonte de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo da mediana pode facilmente identificá-la como um valor discrepante e ignorá-la, tomando o valor do meio como preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em pequenos conjuntos de dados: agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: se o índice de preço de marca de uma moeda alternativa incluir apenas os preços à vista das três exchanges )A, B, C(. Nesse caso, a mediana é o valor que está no meio dos três preços. Se um ator malicioso manipular simultaneamente os preços de duas dessas exchanges ), por exemplo, A e B(, então, não importa quão verdadeiro seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a função de proteção do algoritmo de mediana é quase zero.
Cenário de duas fontes de dados: se o índice contiver apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma das fontes de dados será transmitida diretamente e sem atenuação para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são muito limitados, o que faz com que o índice de preços delas caia facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Portanto, a sensação de segurança trazida pelo "índice de múltiplas fontes" reivindicado pelas bolsas, muitas vezes é apenas uma ilusão no mundo das altcoins. Muitas vezes, o preço de venda mais recente é frequentemente igual ao preço de marca.
O Dilema dos Oráculos: Quando a Liquidez Spot se Torna uma Arma
O preço de marca é baseado no preço índice, e a origem do preço índice é o oráculo. Seja CEX ou DEX, o oráculo desempenha o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, essa ponte, embora crucial, é extremamente frágil em momentos de escassez de liquidez.
) Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não podem acessar proativamente dados fora da cadeia, como o preço de mercado dos ativos. Os oráculos de preços surgem como um sistema de middleware, responsável por transmitir dados fora da cadeia de forma segura e confiável para a cadeia, fornecendo entradas de informação do "mundo real" para a operação dos contratos inteligentes.
Em plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo e outras infraestruturas DeFi essenciais, os dados de preços fornecidos pelos oráculos constituem quase a pedra angular da sua lógica de gestão de riscos. No entanto, um fato frequentemente negligenciado é: um oráculo "honesto" não significa que ele esteja a relatar um preço "razoável". O dever do oráculo é apenas registrar com precisão o estado do mundo externo que pode observar; ele não julga se o preço se desvia dos fundamentos. Esta característica revela dois tipos de caminhos de ataque completamente distintos:
Ataque de oráculo: O atacante manipula a fonte de dados ou o protocolo do oráculo por meios técnicos, fazendo com que ele reporte preços errados.
Manipulação de mercado: os atacantes operam no mercado externo para manipular intencionalmente os preços para cima ou para baixo, enquanto o oráculo que funciona normalmente registra e reporta o preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas gera reações inesperadas devido à "contaminação de informações".
O último é a essência dos eventos Mango Markets e Jelly-My-Jelly: não é que o oráculo tenha sido comprometido, mas sim que sua "janela de observação" foi contaminada.
ponto de ataque: quando a falta de liquidez se torna uma arma
O cerne deste tipo de ataque reside em aproveitar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com pouca negociação, até mesmo ordens de pequeno valor podem provocar flutuações de preço acentuadas, oferecendo assim uma oportunidade para os manipuladores.
O ataque a Mango Markets em outubro de 2022 é considerado um "exemplo". O atacante Avraham Eisenberg utilizou a extrema exaustão de liquidez de seu token de governança MNGO ###, que na época tinha um volume de negociação diário inferior a 100 mil dólares (, investindo cerca de 4 milhões de dólares em várias exchanges para comprar, conseguindo assim elevar o preço do MNGO em mais de 2300% em um curto espaço de tempo. Este "preço anômalo" foi completamente registrado pelo oráculo e alimentado ao protocolo on-chain, resultando em um aumento explosivo no limite de empréstimo, e por fim, "legalmente" esvaziando todos os ativos da plataforma ), aproximadamente 116 milhões de dólares (.
Análise do caminho de ataque: cinco passos para ultrapassar a linha de defesa do protocolo
Seleção de Alvo: O atacante primeiro filtra os tokens-alvo, que geralmente possuem as seguintes características: foram lançados contratos perpétuos em alguma plataforma de derivativos mainstream; o preço do oráculo vem de algumas bolsas de spot conhecidas e com baixa liquidez; o volume diário de negociação é baixo, o livro de ordens é esparso e é fácil de manipular.
Angariação de Capital: A maioria dos atacantes obtém grandes quantias de dinheiro temporárias através de "empréstimos relâmpago". Este mecanismo permite emprestar e devolver ativos numa única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
O mercado à vista sofre um ataque relâmpago: os atacantes em um período muito curto, em todas as bolsas monitoradas pelo oráculo, emitem simultaneamente uma grande quantidade de ordens de compra. Esses pedidos rapidamente eliminam as ordens de venda, levando o preço a níveis elevados - muito distantes do seu valor real.
Poluição de Oráculos: Os oráculos lêem fielmente os preços das exchanges manipuladas mencionadas acima, e mesmo utilizando mecanismos de resistência à volatilidade, como a mediana e a média ponderada, é difícil resistir a manipulações simultâneas de múltiplas fontes. O preço do índice obtido acaba sendo severamente poluído.
preço de marca infectado: o preço do índice contaminado entra na plataforma de derivativos, afetando o cálculo do preço de marca. O motor de liquidação erra a faixa de risco, acionando uma "liquidação" em massa, resultando em grandes perdas para os traders, enquanto os atacantes podem realizar arbitragem através de operações de posições reversas ou empréstimos.
"Manual de Operações" do Atacante: a espada de dois gumes da transparência
Quer seja um CEX ou um protocolo DEX, frequentemente exalta-se a "transparência de código aberto" como uma virtude, divulgando detalhes como o mecanismo de oráculos, o peso das fontes de dados e a frequência de atualização dos preços, com o objetivo de estabelecer a confiança do usuário. No entanto, para os atacantes, essas informações tornam-se um "manual" para elaborar planos de ataque.
Tomando como exemplo uma determinada plataforma de negociação, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os seus pesos. Com base nisso, um atacante pode calcular com precisão quanto capital investir em cada bolsa com menor liquidez, podendo distorcer ao máximo o índice ponderado final. Este tipo de "engenharia algorítmica" torna o ataque controlável, previsível e minimiza os custos.
A matemática é muito simples, mas as pessoas são muito complexas.
![])https://img-cdn.gateio.im/webp-social/moments-d2d38f5e229eee96ccd07700caa11b05.webp(
Caça ao Caçador —— Análise dos riscos estruturais de uma plataforma de negociação
Após compreender os princípios do ataque, o "atacante" deve escolher o "campo de batalha" mais adequado para a execução — uma plataforma de negociação. Embora a manipulação de oráculos seja uma técnica de ataque comum, a razão pela qual o incidente "Jelly-My-Jelly" pôde ocorrer nessa plataforma e causar consequências graves reside na arquitetura de liquidez e no mecanismo de liquidação únicos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência de capital, embora cheios de inovação, também, inadvertidamente, proporcionaram ao atacante um "campo de caça" ideal.
) HLP Vault: Market makers e contrapartes de liquidação democratizados
Uma das inovações centrais de uma plataforma de negociação é o seu HLP Vault - um pool de fundos gerido de forma unificada pelo protocolo, que desempenha funções duplas.
Primeiro, HLP atua como o market maker ativo da plataforma. Permite que os usuários da comunidade depositem USDC no tesouro, participem da estratégia de market making automatizada da plataforma e compartilhem os lucros ### ou as perdas ( proporcionalmente. Este mecanismo de market making "democratizado" permite que o HLP forneça continuamente cotações de compra e venda para várias altcoins com pouca liquidez. Por isso, mesmo tokens de menor capitalização, como JELLY, que têm liquidez extremamente baixa, conseguem suportar posições alavancadas de milhões de dólares na plataforma - algo difícil de alcançar em bolsas tradicionais.
No entanto, esse design não