標記價格：公正判官還是連環清算的導火索?

2025年3月，一個交易量不大的代幣JELLY在某交易平台上引發了一場千萬美元級別的清算風暴。令人震驚的是,攻擊者並未利用傳統的代碼漏洞,而是將平台的核心安全機制——標記價格——變成了一件武器。

這不是一次黑客攻擊,而是對系統規則的"合規性攻擊"。攻擊者利用平台公開的計算邏輯和風險控制機制,制造了一場對市場和交易者都極具殺傷力的"無代碼攻擊"。標記價格本應作爲市場的"中立與安全"之錨,在這一事件中卻從護盾變成了利刃。

本文將深入分析山寨幣永續合約市場中標記價格機制的系統性風險,並對這次攻擊事件進行詳細復盤。該事件不僅揭示了預言機設計的結構性脆弱、創新型流動性池的雙刃劍屬性,更暴露了當前主流清算邏輯在極端行情下對用戶資金保護的內在不對稱性。

永續合約的核心悖論:虛假安全感帶來的清算機制傾斜

標記價格:一場誤以爲安全的共識遊戲

標記價格的核心原則是圍繞"指數價格"構建的三值中位機制。指數價格通過加權平均多個主流現貨平台上該資產的價格計算得出,意在提供一個跨平台、跨地域的公允參考價。

一個典型的標記價格計算方式如下:

Mark Price = Median (Price1, Price2, Last Traded Price)

中位數的引入,其初衷是爲了剔除異常值、提升價格穩定性。但這一設計的安全性,完全建立在輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱的假設之上。

然而,在現實中,絕大多數山寨幣的現貨市場極其薄弱。一旦攻擊者能夠控制幾個低流動性平台的價格,即可"污染"指數價格,從而將惡意數據通過公式合法地注入標記價格。這種攻擊能以最小的成本撬動大規模的槓杆清算,引發連鎖反應。

換言之,聚合機制本意是分散風險,但在流動性稀疏的市場中,反而形成了攻擊者可控的"中心化弱點"。衍生品平台越是強調其規則的透明與可預測性,攻擊者就越能"編程式地利用規則",構造出一條合規的破壞路徑。

清算引擎:平台的盾,也是刃

當市場價格朝不利方向快速變動時,交易者的保證金將被浮虧侵蝕。一旦剩餘保證金跌破"維持保證金率",清算引擎將啓動。

在這些流程中,最核心的觸發標準是標記價格,而非平台自身的最新成交價。這意味着,哪怕當前市場成交價尚未觸及您的清算線,只要那個"看不見"的標記價格達到了,清算就會立刻觸發。

更值得警惕的是"強制平倉"機制。許多交易所爲避免穿倉風險,採用偏保守的清算參數。當觸發強平後,即便平倉價格優於實際虧損歸零的價格,平台也通常不會返還這部分"強平盈餘",而是會將其直接注入平台的保險基金。這導致交易者產生一種"明明還有保證金,卻被提前清算"的錯覺,帳戶直接歸零。

這種機制在流動性低的資產中尤爲常見。平台爲了自身的風險對沖,會將清算線調得更保守,也就更容易讓倉位在價格波動中被"提前平掉"。其邏輯是合理的,但結果卻使得平台和交易者在極端行情下的利益立場產生微妙錯位。

清算引擎本應是中性的風險控制工具,但在收益歸屬、參數選擇、觸發邏輯上,卻具備了平台利潤化的傾向。

標記價格的失效導致清算引擎的失真

在平台厭惡損失的傾向性下,指數價格、標記價格劇烈的波動進一步加劇了這種強制平倉線的前(後)移。

標記價格的理論通過聚合多源數據和中位數算法來提供一個公平、抗操縱的價格基準。然而,這一理論在應用於流動性充裕的主流資產時或許成立,但在面對流動性稀薄、交易場所集中的山寨幣時,其有效性將面臨嚴峻挑戰。

中位數的失效:數據源集中的統計學困境

• 大數據集中的有效性:假設一個價格指數包含10個獨立的、高流動性的數據源。如果其中一個數據源因故出現極端報價,中位數算法能輕易地將其識別爲離羣值並忽略,取中間值作爲最終價格,從而保持指數的穩定。

• 小數據集中的脆弱性:現在,我們考慮一個典型的山寨幣場景。

• 三數據源情景:如果一個山寨幣的標記價格指數僅包含三個交易所(A, B, C)的現貨價格。此時,中位數就是三個價格中排在中間的那個。如果惡意行爲者同時操縱了其中兩個交易所(例如A和B)的價格,那麼無論C的價格多麼真實,中位數都將被A和B的操縱價格所決定。此時,中位數算法的保護作用幾乎爲零。

• 雙數據源情景:如果指數只包含兩個數據源,中位數在數學上等同於兩個價格的平均值。這種情況下,算法完全喪失了剔除異常值的能力。任何一個數據源的劇烈波動都會直接、無衰減地傳導至標記價格。

對於絕大多數山寨幣而言,其交易深度和上市交易所數量都非常有限,這使得它們的價格指數極易落入上述"小數據集"的陷阱。因此,交易所聲稱的"多源指數"所帶來的安全感,在山寨幣的世界裏往往只是一種幻覺。很多時候,最新成交價往往與標記價格劃上等號。

預言機困境:當現貨流動性枯竭成爲武器

標記價格的根基是指數價格,而指數價格的源頭則是預言機。不論是CEX還是DEX,預言機承擔着鏈上與鏈下之間信息傳輸的橋梁角色。然而,這座橋梁雖然關鍵,但在流動性匱乏的時候卻異常脆弱。

預言機:連接鏈上與鏈下的脆弱橋梁

區塊鏈系統本質上是封閉且確定性的,智能合約無法主動訪問鏈外數據,例如資產的市場價格。價格預言機應運而生,它是一個中間件系統,負責將鏈下數據安全、可信地傳輸至鏈上,爲智能合約的運作提供"現實世界"的信息輸入。

在永續合約交易平台或借貸協議等核心DeFi基礎設施中,預言機所提供的價格數據幾乎構成了其風險管理邏輯的基石。然而,一個常被忽略的事實是:一個"誠實"的預言機,並不意味着它報告的是"合理"的價格。預言機的職責僅是如實記錄其所能觀察到的外部世界狀態,它不判斷價格是否偏離基本面。這一特性揭示了兩類截然不同的攻擊路徑:

• 預言機攻擊:攻擊者通過技術手段篡改預言機數據源或協議,使其報告錯誤價格。

• 市場操縱:攻擊者通過實際操作外部市場,刻意拉動或壓低價格,而正常工作的預言機則如實記錄並上報這個"被操控"的市場價格。鏈上協議並未被入侵,卻因"信息中毒"而產生非預期反應。

後者,正是Mango Markets和Jelly-My-Jelly事件的實質:不是預言機被攻破,而是其"觀測窗口"被污染。

攻擊的支點:當流動性缺陷成爲武器

這類攻擊的核心,在於利用目標資產在現貨市場上的流動性劣勢。對於交易稀薄的資產,即便是小額訂單也可能引起價格劇烈波動,從而爲操縱者提供可乘之機。

2022年10月對Mango Markets的攻擊堪稱"典範"。攻擊者Avraham Eisenberg利用其治理代幣MNGO的極度流動性枯竭(當時日交易額不足10萬美元),通過在多個交易所集中投入約400萬美元買入,成功將MNGO價格在極短時間內拉升超過2300%。這一"異常價格"被預言機完整記錄並喂送給鏈上協議,致使其借款額度暴漲,最終"合法地"將平台全部資產(約1.16億美元)掏空。

攻擊路徑詳解:五步擊穿協議防線

1. 目標選擇:攻擊者首先篩選目標代幣,通常具備以下條件:在某主流衍生品平台上線了永續合約;預言機價格來自幾個已知的、流動性薄弱的現貨交易所;日交易量低,訂單簿稀疏,極易操縱。

2. 資本籌集:多數攻擊者通過"閃電貸"獲取臨時巨額資金。這種機制允許在單一交易中借入並歸還資產,無需任何抵押,大幅降低了操縱成本。

3. 現貨市場閃擊:攻擊者在極短時間內,在所有被預言機監控的交易所同步下達大量買單。這些訂單迅速掃清賣方掛單,將價格推向高位——遠遠偏離其真實價值。

4. 預言機污染:預言機忠實地從上述被操縱的交易所中讀取價格,即便採用中位數、加權平均等抗波動機制,也難以抵御同時多源操縱。最終得出的指數價格被嚴重污染。

5. 標記價格感染:受污染的指數價格進入衍生品平台,影響標記價格計算。清算引擎誤判風險區間,觸發大規模"清算",交易者損失慘重,攻擊者則可通過反向持倉或借貸操作實現套利。

攻擊者的"作戰手冊":透明性的雙刃劍

不管是CEX還是DEX協議常以"開源透明"爲美德,公開其預言機機制、數據來源權重、價格刷新頻率等細節,旨在建立用戶信任。然而,對攻擊者而言,這些信息卻成爲制定攻擊計劃的"說明書"。

以某交易平台爲例,其預言機架構公開列出所有數據源交易所及其權重。攻擊者據此可以精準計算,在每一個流動性最弱的交易所投入多少資金,即可最大程度扭曲最終的加權指數。這種"算法工程"讓攻擊變得可控、可預測、成本最小化。

數學很單純,但人很復雜。

獵殺場 —— 某交易平台的結構性風險剖析

在了解了攻擊原理之後,"攻擊者"接下來要選擇適合實施的"戰場"——某交易平台。雖然操縱預言機是一種常見的攻擊手段,但"Jelly-My-Jelly"事件之所以能在該平台上發生並造成嚴重後果,根本原因在於該平台特有的流動性架構與清算機制。這些旨在提升用戶體驗與資本效率的設計,雖充滿創新,卻也意外爲攻擊者提供了一個理想的"獵殺場"。

HLP金庫:民主化的做市商與清算對手盤

某交易平台的核心創新之一是其HLP金庫——一個由協議統一管理、肩負雙重職能的資金池。

首先,HLP充當平台的主動做市商。它允許社區用戶將USDC存入金庫,參與平台的自動化做市策略,並按比例分享收益(或損失)。這套"民主化"做市機制,使HLP能夠爲衆多流動性匱乏的山寨幣持續提供買賣盤口。正因如此,即使是如JELLY這種市值較小、流動性極低的代幣,也能在該平台上支撐數百萬美元級別的槓杆頭寸——這是傳統交易所難以實現的。

然而,這種設計不