Giá đánh dấu: Quan tòa công bằng hay ngòi nổ của chuỗi thanh lý?
Vào tháng 3 năm 2025, một token có khối lượng giao dịch không lớn là JELLY đã gây ra một cơn bão thanh lý lên đến hàng triệu đô la trên một nền tảng giao dịch nào đó. Điều gây sốc là, kẻ tấn công không sử dụng các lỗ hổng mã truyền thống, mà đã biến cơ chế an ninh cốt lõi của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một "cuộc tấn công tuân thủ" vào các quy tắc của hệ thống. Kẻ tấn công đã lợi dụng logic tính toán và cơ chế kiểm soát rủi ro công khai của nền tảng, tạo ra một "cuộc tấn công không mã" gây tổn thương lớn cho cả thị trường và các trader. Giá đánh dấu lẽ ra nên là "mỏ neo trung lập và an toàn" cho thị trường, nhưng trong sự kiện này đã biến từ khiên thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo, và thực hiện một cuộc tổng kết chi tiết về sự kiện tấn công này. Sự kiện này không chỉ làm lộ ra sự yếu kém cấu trúc trong thiết kế oracle, mà còn chỉ ra tính hai mặt của các pool thanh khoản sáng tạo, đồng thời phơi bày sự không đối xứng bên trong của logic thanh lý chính trong việc bảo vệ tiền của người dùng trong các tình huống cực đoan.
Nghịch lý cốt lõi của hợp đồng vĩnh viễn: Cơ chế thanh lý lệch do cảm giác an toàn giả tạo
giá đánh dấu: Một trò chơi đồng thuận tưởng là an toàn
Nguyên tắc cốt lõi của giá đánh dấu là được xây dựng xung quanh cơ chế trung vị ba giá "giá chỉ số". Giá chỉ số được tính toán bằng cách trung bình có trọng số giá của tài sản trên nhiều nền tảng giao dịch chính thống, nhằm cung cấp một mức giá tham khảo công bằng trên toàn cầu và đa vùng.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung vị (Giá1, Giá2, Giá Giao dịch Cuối )
Việc đưa ra trung vị, mục đích ban đầu là để loại bỏ các giá trị ngoại lệ và nâng cao tính ổn định của giá cả. Tuy nhiên, độ an toàn của thiết kế này hoàn toàn dựa trên giả thuyết rằng số lượng nguồn dữ liệu đầu vào đầy đủ, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng phối hợp.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo kém chất lượng rất yếu. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có tính thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại vào giá đánh dấu thông qua công thức. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra phản ứng dây chuyền.
Nói cách khác, cơ chế tổng hợp vốn có ý định phân tán rủi ro, nhưng trong một thị trường có tính thanh khoản thấp, lại hình thành "điểm yếu tập trung" có thể kiểm soát bởi kẻ tấn công. Các nền tảng sản phẩm phái sinh càng nhấn mạnh tính minh bạch và khả năng dự đoán của quy tắc, kẻ tấn công càng có thể "lợi dụng quy tắc một cách lập trình", tạo ra một con đường phá hoại hợp pháp.
Công cụ thanh lý: lá chắn của nền tảng, cũng là lưỡi dao
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị thua lỗ. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì", động cơ thanh lý sẽ được kích hoạt.
Trong những quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu, chứ không phải giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch hiện tại trên thị trường chưa chạm đến đường thanh lý của bạn, miễn là giá đánh dấu "không thể thấy" đó đã đạt được, thì thanh lý sẽ ngay lập tức được kích hoạt.
Điều đáng lo ngại hơn là cơ chế "buộc phải thanh lý". Nhiều sàn giao dịch áp dụng các tham số thanh lý có phần bảo thủ để tránh rủi ro bị âm vốn. Khi kích hoạt thanh lý cưỡng bức, ngay cả khi giá thanh lý tốt hơn giá thực tế khiến thua lỗ về không, nền tảng thường không trả lại phần "lợi nhuận thanh lý cưỡng bức" này, mà sẽ trực tiếp đưa vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng bị thanh lý trước" và tài khoản của họ trực tiếp về không.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng khiến vị thế bị "thanh lý trước" trong những biến động giá. Logic này là hợp lý, nhưng kết quả lại khiến cho lợi ích của nền tảng và nhà giao dịch bị lệch lạc tinh tế trong các tình huống cực đoan.
Công cụ thanh lý lẽ ra nên là công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân bổ lợi nhuận, lựa chọn tham số và logic kích hoạt, lại có xu hướng hướng tới việc kiếm lợi cho nền tảng.
giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của công cụ thanh lý
Dưới xu hướng ghét tổn thất trên nền tảng, sự biến động mạnh mẽ của giá chỉ số và giá đánh dấu đã làm trầm trọng thêm sự di chuyển của đường forced liquidation trước ( sau ).
Lý thuyết về giá đánh dấu cung cấp một chuẩn giá công bằng, chống thao túng thông qua việc tổng hợp dữ liệu đa nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chủ đạo có tính thanh khoản cao, nhưng sẽ phải đối mặt với những thách thức nghiêm trọng về tính hiệu quả khi đối diện với các đồng tiền ảo có tính thanh khoản thấp và các sàn giao dịch tập trung.
Sự thất bại của giá trị trung vị: Những rắc rối thống kê từ việc tập trung nguồn dữ liệu
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập, có tính thanh khoản cao. Nếu một trong các nguồn dữ liệu xuất hiện báo giá cực đoan vì lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó là giá trị ngoại lai và bỏ qua, lấy giá trị trung bình làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Sự dễ bị tổn thương trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình về đồng tiền ảo.
Bối cảnh ba nguồn dữ liệu: Nếu chỉ số giá đánh dấu của một đồng tiền điện tử chỉ bao gồm giá giao ngay của ba sàn giao dịch (A, B, C). Lúc này, số trung vị chính là giá ở giữa trong ba giá đó. Nếu kẻ xấu thao túng giá của hai sàn giao dịch ( ví dụ như A và B) cùng lúc, thì bất kể giá của C có chính xác đến đâu, số trung vị sẽ bị quyết định bởi giá bị thao túng của A và B. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống hai nguồn dữ liệu: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, giá trị trung vị về mặt toán học tương đương với giá trung bình của hai mức giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự dao động mạnh nào từ một nguồn dữ liệu sẽ trực tiếp, không bị suy giảm truyền đến giá đánh dấu.
Đối với hầu hết các đồng coin, độ sâu giao dịch và số lượng sàn giao dịch rất hạn chế, điều này khiến cho chỉ số giá của chúng rất dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nói ở trên. Do đó, cảm giác an toàn mà chỉ số "đa nguồn" mà các sàn giao dịch tuyên bố mang lại, trong thế giới đồng coin thường chỉ là một ảo giác. Rất nhiều lần, giá giao dịch gần nhất thường được coi là bằng với giá đánh dấu.
Nghịch lý của oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có căn cứ từ giá chỉ số, và nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này mặc dù rất quan trọng, nhưng lại cực kỳ yếu ớt khi thiếu hụt thanh khoản.
Oracle: cây cầu mong manh kết nối trên chuỗi và ngoài chuỗi
Hệ thống blockchain về bản chất là đóng và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Giá đánh dấu ra đời, nó là một hệ thống trung gian, có trách nhiệm truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy lên chuỗi, cung cấp đầu vào thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trên nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay và các cơ sở hạ tầng DeFi cốt lõi, dữ liệu giá được cung cấp bởi các oracle hầu như là nền tảng của logic quản lý rủi ro của nó. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "thành thật" không có nghĩa là nó báo cáo một mức giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại trung thực trạng thái thế giới bên ngoài mà nó có thể quan sát, nó không đánh giá xem giá có lệch khỏi các yếu tố cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle: Kẻ tấn công sử dụng các biện pháp kỹ thuật để làm sai lệch nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường: Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc hạ giá xuống, trong khi oracle hoạt động bình thường ghi lại và báo cáo chính xác giá thị trường "bị thao túng" này. Giao thức trên chuỗi không bị xâm nhập, nhưng do "ô nhiễm thông tin" mà tạo ra phản ứng không mong đợi.
Điều sau đây chính là bản chất của sự kiện Mango Markets và Jelly-My-Jelly: không phải là oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
Điểm tấn công: Khi sự thiếu hụt thanh khoản trở thành vũ khí
Cốt lõi của loại tấn công này là lợi dụng nhược điểm về thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với các tài sản có giao dịch mỏng, ngay cả những đơn hàng nhỏ cũng có thể gây ra sự biến động giá mạnh, từ đó tạo cơ hội cho kẻ thao túng.
Cuộc tấn công vào Mango Markets vào tháng 10 năm 2022 được coi là "mẫu mực". Kẻ tấn công Avraham Eisenberg đã lợi dụng tình trạng cạn kiệt thanh khoản cực độ của token quản trị MNGO với mã số ( khi doanh thu giao dịch hàng ngày chỉ chưa đến 100.000 đô la mã số ), thông qua việc đầu tư khoảng 4 triệu đô la vào nhiều sàn giao dịch, đã thành công trong việc đẩy giá MNGO lên hơn 2300% trong thời gian rất ngắn. "Giá cả bất thường" này đã được oracle ghi nhận đầy đủ và cung cấp cho giao thức trên chuỗi, dẫn đến việc hạn mức vay của nó tăng vọt, cuối cùng "hợp pháp" đánh cắp toàn bộ tài sản của nền tảng mã số ( khoảng 116 triệu đô la mã số ).
Chi tiết đường tấn công: Năm bước phá vỡ tuyến phòng thủ giao thức
Lựa chọn mục tiêu: Kẻ tấn công trước tiên lựa chọn token mục tiêu, thường có các điều kiện sau: đã niêm yết hợp đồng vĩnh viễn trên một nền tảng phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, dễ bị thao túng.
Huy động vốn: Hầu hết các kẻ tấn công sử dụng "cho vay chớp nhoáng" để có được nguồn vốn tạm thời khổng lồ. Cơ chế này cho phép vay và hoàn trả tài sản trong một giao dịch duy nhất, không cần bất kỳ tài sản thế chấp nào, giảm đáng kể chi phí thao túng.
Thị trường giao ngay bị tấn công: Kẻ tấn công trong một khoảng thời gian rất ngắn, đồng thời phát lệnh mua lớn trên tất cả các sàn giao dịch được oracle giám sát. Những lệnh này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa rời giá trị thực.
Ô nhiễm từ oracle: Oracle trung thành đọc giá từ các sàn giao dịch bị thao túng nêu trên, ngay cả khi áp dụng cơ chế chống biến động như trung vị, trung bình trọng số, cũng khó có thể chống lại việc thao túng từ nhiều nguồn đồng thời. Giá chỉ số cuối cùng bị ô nhiễm nghiêm trọng.
Giá đánh dấu nhiễm: Chỉ số giá bị ô nhiễm vào nền tảng phái sinh, ảnh hưởng đến việc tính toán giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu tổn thất nặng nề, kẻ tấn công có thể thực hiện套利 thông qua vị thế ngược hoặc các hoạt động cho vay.
"Sổ tay chiến đấu" của kẻ tấn công: Con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường coi "mã nguồn mở và minh bạch" là một đức tính, công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất cập nhật giá và các chi tiết khác, nhằm xây dựng niềm tin của người dùng. Tuy nhiên, đối với kẻ tấn công, những thông tin này lại trở thành "hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các sàn giao dịch nguồn dữ liệu và trọng số của chúng. Kẻ tấn công có thể tính toán chính xác, đầu tư bao nhiêu tiền vào mỗi sàn giao dịch có tính thanh khoản yếu nhất, nhằm tối đa hóa việc bóp méo chỉ số trọng số cuối cùng. "Kỹ thuật thuật toán" này khiến cho các cuộc tấn công trở nên có thể kiểm soát, có thể dự đoán và tối thiểu hóa chi phí.
Toán học rất đơn giản, nhưng con người thì rất phức tạp.
Săn bắn —— Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo sẽ chọn "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương pháp tấn công phổ biến, nhưng sự kiện "Jelly-My-Jelly" xảy ra trên nền tảng này và gây ra hậu quả nghiêm trọng là do cấu trúc thanh khoản và cơ chế thanh lý đặc thù của nền tảng này. Những thiết kế nhằm nâng cao trải nghiệm người dùng và hiệu quả vốn, mặc dù đầy tính sáng tạo, nhưng lại vô tình cung cấp cho kẻ tấn công một "sân săn" lý tưởng.
HLP金库: nhà tạo lập và đối tác thanh toán được dân chủ hóa
Một trong những đổi mới cốt lõi của một nền tảng giao dịch là HLP金库 của nó - một quỹ tài chính được quản lý thống nhất bởi giao thức, đảm nhận hai chức năng.
Đầu tiên, HLP đóng vai trò là nhà tạo lập thị trường chủ động của nền tảng. Nó cho phép người dùng trong cộng đồng gửi USDC vào kho bạc, tham gia vào chiến lược tạo lập thị trường tự động của nền tảng và chia sẻ lợi nhuận ( hoặc thua lỗ ) theo tỷ lệ. Cơ chế tạo lập thị trường "dân chủ" này cho phép HLP cung cấp liên tục các lệnh mua và bán cho nhiều đồng coin nhỏ thiếu thanh khoản. Chính vì vậy, ngay cả những token có vốn hóa nhỏ như JELLY, với tính thanh khoản cực kỳ thấp, cũng có thể hỗ trợ các vị thế đòn bẩy lên đến hàng triệu đô la trên nền tảng này - điều mà các sàn giao dịch truyền thống khó có thể thực hiện.
Tuy nhiên, thiết kế này không
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
8
Đăng lại
Chia sẻ
Bình luận
0/400
DegenWhisperer
· 21giờ trước
Nướng sạch tất cả những kẻ ngốc, mãi mãi thắng
Xem bản gốcTrả lời0
ProbablyNothing
· 08-07 20:28
Sự tuân thủ tấn công phải không? Không giữ được nữa.
Xem bản gốcTrả lời0
MrDecoder
· 08-07 10:19
Hảo gia hảo, giá đánh dấu có thể chơi như vậy.
Xem bản gốcTrả lời0
faded_wojak.eth
· 08-06 05:19
Lại bị cướp mất rồi.
Xem bản gốcTrả lời0
SadMoneyMeow
· 08-06 05:18
Lại lỗ nữa rồi
Xem bản gốcTrả lời0
ZeroRushCaptain
· 08-06 05:17
Lại là hiện trường thất bại lớn của đồ ngốc luyện thép...
Xem bản gốcTrả lời0
SchroedingerMiner
· 08-06 05:10
Giao dịch tiền điện tử hai năm kiếm được hai trăm triệu
Cơ chế giá đánh dấu rủi ro: bẫy thanh lý trong thị trường hợp đồng tương lai vĩnh cửu alts
Giá đánh dấu: Quan tòa công bằng hay ngòi nổ của chuỗi thanh lý?
Vào tháng 3 năm 2025, một token có khối lượng giao dịch không lớn là JELLY đã gây ra một cơn bão thanh lý lên đến hàng triệu đô la trên một nền tảng giao dịch nào đó. Điều gây sốc là, kẻ tấn công không sử dụng các lỗ hổng mã truyền thống, mà đã biến cơ chế an ninh cốt lõi của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một "cuộc tấn công tuân thủ" vào các quy tắc của hệ thống. Kẻ tấn công đã lợi dụng logic tính toán và cơ chế kiểm soát rủi ro công khai của nền tảng, tạo ra một "cuộc tấn công không mã" gây tổn thương lớn cho cả thị trường và các trader. Giá đánh dấu lẽ ra nên là "mỏ neo trung lập và an toàn" cho thị trường, nhưng trong sự kiện này đã biến từ khiên thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo, và thực hiện một cuộc tổng kết chi tiết về sự kiện tấn công này. Sự kiện này không chỉ làm lộ ra sự yếu kém cấu trúc trong thiết kế oracle, mà còn chỉ ra tính hai mặt của các pool thanh khoản sáng tạo, đồng thời phơi bày sự không đối xứng bên trong của logic thanh lý chính trong việc bảo vệ tiền của người dùng trong các tình huống cực đoan.
Nghịch lý cốt lõi của hợp đồng vĩnh viễn: Cơ chế thanh lý lệch do cảm giác an toàn giả tạo
giá đánh dấu: Một trò chơi đồng thuận tưởng là an toàn
Nguyên tắc cốt lõi của giá đánh dấu là được xây dựng xung quanh cơ chế trung vị ba giá "giá chỉ số". Giá chỉ số được tính toán bằng cách trung bình có trọng số giá của tài sản trên nhiều nền tảng giao dịch chính thống, nhằm cung cấp một mức giá tham khảo công bằng trên toàn cầu và đa vùng.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung vị (Giá1, Giá2, Giá Giao dịch Cuối )
Việc đưa ra trung vị, mục đích ban đầu là để loại bỏ các giá trị ngoại lệ và nâng cao tính ổn định của giá cả. Tuy nhiên, độ an toàn của thiết kế này hoàn toàn dựa trên giả thuyết rằng số lượng nguồn dữ liệu đầu vào đầy đủ, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng phối hợp.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo kém chất lượng rất yếu. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có tính thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại vào giá đánh dấu thông qua công thức. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra phản ứng dây chuyền.
Nói cách khác, cơ chế tổng hợp vốn có ý định phân tán rủi ro, nhưng trong một thị trường có tính thanh khoản thấp, lại hình thành "điểm yếu tập trung" có thể kiểm soát bởi kẻ tấn công. Các nền tảng sản phẩm phái sinh càng nhấn mạnh tính minh bạch và khả năng dự đoán của quy tắc, kẻ tấn công càng có thể "lợi dụng quy tắc một cách lập trình", tạo ra một con đường phá hoại hợp pháp.
Công cụ thanh lý: lá chắn của nền tảng, cũng là lưỡi dao
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị thua lỗ. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì", động cơ thanh lý sẽ được kích hoạt.
Trong những quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu, chứ không phải giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch hiện tại trên thị trường chưa chạm đến đường thanh lý của bạn, miễn là giá đánh dấu "không thể thấy" đó đã đạt được, thì thanh lý sẽ ngay lập tức được kích hoạt.
Điều đáng lo ngại hơn là cơ chế "buộc phải thanh lý". Nhiều sàn giao dịch áp dụng các tham số thanh lý có phần bảo thủ để tránh rủi ro bị âm vốn. Khi kích hoạt thanh lý cưỡng bức, ngay cả khi giá thanh lý tốt hơn giá thực tế khiến thua lỗ về không, nền tảng thường không trả lại phần "lợi nhuận thanh lý cưỡng bức" này, mà sẽ trực tiếp đưa vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng bị thanh lý trước" và tài khoản của họ trực tiếp về không.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng khiến vị thế bị "thanh lý trước" trong những biến động giá. Logic này là hợp lý, nhưng kết quả lại khiến cho lợi ích của nền tảng và nhà giao dịch bị lệch lạc tinh tế trong các tình huống cực đoan.
Công cụ thanh lý lẽ ra nên là công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân bổ lợi nhuận, lựa chọn tham số và logic kích hoạt, lại có xu hướng hướng tới việc kiếm lợi cho nền tảng.
giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của công cụ thanh lý
Dưới xu hướng ghét tổn thất trên nền tảng, sự biến động mạnh mẽ của giá chỉ số và giá đánh dấu đã làm trầm trọng thêm sự di chuyển của đường forced liquidation trước ( sau ).
Lý thuyết về giá đánh dấu cung cấp một chuẩn giá công bằng, chống thao túng thông qua việc tổng hợp dữ liệu đa nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chủ đạo có tính thanh khoản cao, nhưng sẽ phải đối mặt với những thách thức nghiêm trọng về tính hiệu quả khi đối diện với các đồng tiền ảo có tính thanh khoản thấp và các sàn giao dịch tập trung.
Sự thất bại của giá trị trung vị: Những rắc rối thống kê từ việc tập trung nguồn dữ liệu
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập, có tính thanh khoản cao. Nếu một trong các nguồn dữ liệu xuất hiện báo giá cực đoan vì lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó là giá trị ngoại lai và bỏ qua, lấy giá trị trung bình làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Sự dễ bị tổn thương trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình về đồng tiền ảo.
Bối cảnh ba nguồn dữ liệu: Nếu chỉ số giá đánh dấu của một đồng tiền điện tử chỉ bao gồm giá giao ngay của ba sàn giao dịch (A, B, C). Lúc này, số trung vị chính là giá ở giữa trong ba giá đó. Nếu kẻ xấu thao túng giá của hai sàn giao dịch ( ví dụ như A và B) cùng lúc, thì bất kể giá của C có chính xác đến đâu, số trung vị sẽ bị quyết định bởi giá bị thao túng của A và B. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống hai nguồn dữ liệu: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, giá trị trung vị về mặt toán học tương đương với giá trung bình của hai mức giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự dao động mạnh nào từ một nguồn dữ liệu sẽ trực tiếp, không bị suy giảm truyền đến giá đánh dấu.
Đối với hầu hết các đồng coin, độ sâu giao dịch và số lượng sàn giao dịch rất hạn chế, điều này khiến cho chỉ số giá của chúng rất dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nói ở trên. Do đó, cảm giác an toàn mà chỉ số "đa nguồn" mà các sàn giao dịch tuyên bố mang lại, trong thế giới đồng coin thường chỉ là một ảo giác. Rất nhiều lần, giá giao dịch gần nhất thường được coi là bằng với giá đánh dấu.
Nghịch lý của oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có căn cứ từ giá chỉ số, và nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này mặc dù rất quan trọng, nhưng lại cực kỳ yếu ớt khi thiếu hụt thanh khoản.
Oracle: cây cầu mong manh kết nối trên chuỗi và ngoài chuỗi
Hệ thống blockchain về bản chất là đóng và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Giá đánh dấu ra đời, nó là một hệ thống trung gian, có trách nhiệm truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy lên chuỗi, cung cấp đầu vào thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trên nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay và các cơ sở hạ tầng DeFi cốt lõi, dữ liệu giá được cung cấp bởi các oracle hầu như là nền tảng của logic quản lý rủi ro của nó. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "thành thật" không có nghĩa là nó báo cáo một mức giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại trung thực trạng thái thế giới bên ngoài mà nó có thể quan sát, nó không đánh giá xem giá có lệch khỏi các yếu tố cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle: Kẻ tấn công sử dụng các biện pháp kỹ thuật để làm sai lệch nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường: Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc hạ giá xuống, trong khi oracle hoạt động bình thường ghi lại và báo cáo chính xác giá thị trường "bị thao túng" này. Giao thức trên chuỗi không bị xâm nhập, nhưng do "ô nhiễm thông tin" mà tạo ra phản ứng không mong đợi.
Điều sau đây chính là bản chất của sự kiện Mango Markets và Jelly-My-Jelly: không phải là oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
Điểm tấn công: Khi sự thiếu hụt thanh khoản trở thành vũ khí
Cốt lõi của loại tấn công này là lợi dụng nhược điểm về thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với các tài sản có giao dịch mỏng, ngay cả những đơn hàng nhỏ cũng có thể gây ra sự biến động giá mạnh, từ đó tạo cơ hội cho kẻ thao túng.
Cuộc tấn công vào Mango Markets vào tháng 10 năm 2022 được coi là "mẫu mực". Kẻ tấn công Avraham Eisenberg đã lợi dụng tình trạng cạn kiệt thanh khoản cực độ của token quản trị MNGO với mã số ( khi doanh thu giao dịch hàng ngày chỉ chưa đến 100.000 đô la mã số ), thông qua việc đầu tư khoảng 4 triệu đô la vào nhiều sàn giao dịch, đã thành công trong việc đẩy giá MNGO lên hơn 2300% trong thời gian rất ngắn. "Giá cả bất thường" này đã được oracle ghi nhận đầy đủ và cung cấp cho giao thức trên chuỗi, dẫn đến việc hạn mức vay của nó tăng vọt, cuối cùng "hợp pháp" đánh cắp toàn bộ tài sản của nền tảng mã số ( khoảng 116 triệu đô la mã số ).
Chi tiết đường tấn công: Năm bước phá vỡ tuyến phòng thủ giao thức
Lựa chọn mục tiêu: Kẻ tấn công trước tiên lựa chọn token mục tiêu, thường có các điều kiện sau: đã niêm yết hợp đồng vĩnh viễn trên một nền tảng phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, dễ bị thao túng.
Huy động vốn: Hầu hết các kẻ tấn công sử dụng "cho vay chớp nhoáng" để có được nguồn vốn tạm thời khổng lồ. Cơ chế này cho phép vay và hoàn trả tài sản trong một giao dịch duy nhất, không cần bất kỳ tài sản thế chấp nào, giảm đáng kể chi phí thao túng.
Thị trường giao ngay bị tấn công: Kẻ tấn công trong một khoảng thời gian rất ngắn, đồng thời phát lệnh mua lớn trên tất cả các sàn giao dịch được oracle giám sát. Những lệnh này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa rời giá trị thực.
Ô nhiễm từ oracle: Oracle trung thành đọc giá từ các sàn giao dịch bị thao túng nêu trên, ngay cả khi áp dụng cơ chế chống biến động như trung vị, trung bình trọng số, cũng khó có thể chống lại việc thao túng từ nhiều nguồn đồng thời. Giá chỉ số cuối cùng bị ô nhiễm nghiêm trọng.
Giá đánh dấu nhiễm: Chỉ số giá bị ô nhiễm vào nền tảng phái sinh, ảnh hưởng đến việc tính toán giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu tổn thất nặng nề, kẻ tấn công có thể thực hiện套利 thông qua vị thế ngược hoặc các hoạt động cho vay.
"Sổ tay chiến đấu" của kẻ tấn công: Con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường coi "mã nguồn mở và minh bạch" là một đức tính, công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất cập nhật giá và các chi tiết khác, nhằm xây dựng niềm tin của người dùng. Tuy nhiên, đối với kẻ tấn công, những thông tin này lại trở thành "hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các sàn giao dịch nguồn dữ liệu và trọng số của chúng. Kẻ tấn công có thể tính toán chính xác, đầu tư bao nhiêu tiền vào mỗi sàn giao dịch có tính thanh khoản yếu nhất, nhằm tối đa hóa việc bóp méo chỉ số trọng số cuối cùng. "Kỹ thuật thuật toán" này khiến cho các cuộc tấn công trở nên có thể kiểm soát, có thể dự đoán và tối thiểu hóa chi phí.
Toán học rất đơn giản, nhưng con người thì rất phức tạp.
Săn bắn —— Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo sẽ chọn "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương pháp tấn công phổ biến, nhưng sự kiện "Jelly-My-Jelly" xảy ra trên nền tảng này và gây ra hậu quả nghiêm trọng là do cấu trúc thanh khoản và cơ chế thanh lý đặc thù của nền tảng này. Những thiết kế nhằm nâng cao trải nghiệm người dùng và hiệu quả vốn, mặc dù đầy tính sáng tạo, nhưng lại vô tình cung cấp cho kẻ tấn công một "sân săn" lý tưởng.
HLP金库: nhà tạo lập và đối tác thanh toán được dân chủ hóa
Một trong những đổi mới cốt lõi của một nền tảng giao dịch là HLP金库 của nó - một quỹ tài chính được quản lý thống nhất bởi giao thức, đảm nhận hai chức năng.
Đầu tiên, HLP đóng vai trò là nhà tạo lập thị trường chủ động của nền tảng. Nó cho phép người dùng trong cộng đồng gửi USDC vào kho bạc, tham gia vào chiến lược tạo lập thị trường tự động của nền tảng và chia sẻ lợi nhuận ( hoặc thua lỗ ) theo tỷ lệ. Cơ chế tạo lập thị trường "dân chủ" này cho phép HLP cung cấp liên tục các lệnh mua và bán cho nhiều đồng coin nhỏ thiếu thanh khoản. Chính vì vậy, ngay cả những token có vốn hóa nhỏ như JELLY, với tính thanh khoản cực kỳ thấp, cũng có thể hỗ trợ các vị thế đòn bẩy lên đến hàng triệu đô la trên nền tảng này - điều mà các sàn giao dịch truyền thống khó có thể thực hiện.
Tuy nhiên, thiết kế này không