標記價格的謎題：解密 Hyperliquid 清算風暴

永續合約交易中，標記價格本應是公正的裁判，卻在 Hyperliquid 平台上演變成了一場清算風暴的導火索。2025年3月，一個日交易額不足200萬美元的小衆代幣 JELLY，引發了數千萬美元級別的連環清算。這次事件並非傳統意義上的黑客攻擊，而是對系統規則的"合規性利用"。

攻擊者巧妙利用了平台公開的計算邏輯、算法流程與風控機制，策劃了一場無需改動代碼的"無代碼攻擊"。本文將深入剖析山寨幣永續合約市場中標記價格機制的系統性風險，並對 Jelly-My-Jelly 攻擊事件進行詳細復盤。

永續合約的核心悖論：虛假安全感與清算機制傾斜

標記價格：誤以爲安全的共識遊戲

標記價格的計算通常基於"指數價格"構建的三值中位機制：

Mark Price = 中位數 (Price1, Price2, 最新成交價)

• Price1 = 指數價格 × (1 + 資金費率基差)
• Price2 = 指數價格 + 移動平均基差
• 最新成交價 = 平台上的最新成交價格

這種設計本意是剔除異常值、提升價格穩定性。但其安全性完全建立在一個關鍵假設之上：輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱。

然而，大多數山寨幣的現貨市場極其薄弱。攻擊者只需控制幾個低流動性平台的價格，就能"污染"指數價格，將惡意數據注入標記價格。這種攻擊能以最小成本撬動大規模槓杆清算，引發連鎖反應。

清算引擎：平台的盾，也是刃

清算觸發的核心標準是標記價格，而非平台自身的最新成交價。這意味着，即使當前市場成交價未觸及清算線，只要那個"看不見"的標記價格達到了，清算就會立即啓動。

更值得警惕的是"強制平倉"機制。許多交易所採用保守的清算參數，觸發強平後即便平倉價格優於實際虧損歸零的價格，平台通常也不會返還這部分"強平盈餘"，而是直接注入保險基金。這導致交易者產生"明明還有保證金，卻被提前清算"的錯覺。

清算引擎本應是中性的風控工具，但在收益歸屬、參數選擇、觸發邏輯上，卻具備了平台利潤化的傾向。

標記價格失效導致清算引擎失真

在平台厭惡損失的傾向下，指數價格、標記價格的劇烈波動進一步加劇了強制平倉時機的提前。

標記價格理論上通過聚合多源數據和中位數算法提供公平、抗操縱的價格基準。然而，這一理論在應用於流動性充裕的主流資產時或許成立，但面對流動性稀薄、交易場所集中的山寨幣時，其有效性將面臨嚴峻挑戰。

對於大多數山寨幣而言，其交易深度和上市交易所數量都非常有限，這使得它們的價格指數極易落入"小數據集"的陷阱。交易所聲稱的"多源指數"所帶來的安全感，在山寨幣的世界裏往往只是一種幻覺。

預言機困境：當現貨流動性枯竭成爲武器

標記價格的根基是指數價格，而指數價格的源頭則是預言機。不論是中心化還是去中心化交易所，預言機承擔着鏈上與鏈下之間信息傳輸的橋梁角色。然而，這座橋梁雖然關鍵，但在流動性匱乏時卻異常脆弱。

預言機：連接鏈上與鏈下的脆弱橋梁

預言機是一個中間件系統，負責將鏈下數據安全、可信地傳輸至鏈上，爲智能合約的運作提供"現實世界"的信息輸入。然而，一個"誠實"的預言機，並不意味着它報告的是"合理"的價格。預言機的職責僅是如實記錄其所能觀察到的外部世界狀態，它不判斷價格是否偏離基本面。

這一特性揭示了兩類截然不同的攻擊路徑：

1. 預言機攻擊：通過技術手段篡改預言機數據源或協議，使其報告錯誤價格。
2. 市場操縱：通過實際操作外部市場，刻意拉動或壓低價格，而正常工作的預言機則如實記錄並上報這個"被操控"的市場價格。

攻擊的支點：當流動性缺陷成爲武器

這類攻擊的核心，在於利用目標資產在現貨市場上的流動性劣勢。對於交易稀薄的資產，即便是小額訂單也可能引起價格劇烈波動，從而爲操縱者提供可乘之機。

攻擊路徑詳解：

1. 目標選擇：篩選流動性低、預言機數據源集中的代幣。
2. 資本籌集：通常利用閃電貸獲取臨時巨額資金。
3. 現貨市場閃擊：在極短時間內，在所有被預言機監控的交易所同步下達大量買單。
4. 預言機污染：預言機從被操縱的交易所中讀取價格，得出被嚴重污染的指數價格。
5. 標記價格感染：受污染的指數價格進入衍生品平台，影響標記價格計算，觸發大規模"清算"。

Hyperliquid 的結構性風險剖析

HLP 金庫：民主化的做市商與清算對手盤

Hyperliquid 的核心創新之一是其 HLP 金庫 —— 一個由協議統一管理、肩負雙重職能的資金池。

HLP 充當平台的主動做市商，允許社區用戶參與平台的自動化做市策略。這套"民主化"做市機制，使 HLP 能夠爲衆多流動性匱乏的山寨幣持續提供買賣盤口。

同時，HLP 還承擔着平台的"清算止損後盾"，即最後的清算對手方。當槓杆倉位被強制平倉，而市場中沒有足夠清算人願意接盤時，協議會自動將這些高風險倉位轉嫁給 HLP 金庫，而且是按照預言機的價格照單全收。

這種機制使 HLP 變成了一個可以被確定性利用的、完全沒有自主判斷能力的接盤實體。

清算機制的結構性缺陷

Jelly-My-Jelly 事件暴露了 Hyperliquid 在極端市場條件下的一個致命漏洞，其根源是 HLP 金庫內部的資金架構和清算模式。

在攻擊發生時，專責處理被清算倉位的"清算儲備池"與其他執行做市等策略的資金池之間，並無嚴格的隔離機制。它們共享同一筆抵押品。當攻擊者價值 400 萬美元的空頭倉位因標記價格飆升而被清算時，該倉位被完整轉移至清算儲備池。

雖然清算儲備池自身已經陷入深度虧損，但由於它可以調用整個 HLP 金庫中其他策略池的抵押資產，系統判定整個 HLP 金庫"整體健康度"依然良好，因而沒有觸發風控機制。這種共享抵押機制的設計，意外繞過了 ADL 這一系統性風險防線，使本應由市場整體承擔的損失，最終集中爆發於 HLP 金庫之中。

Jelly-My-Jelly 攻擊的完整復盤

階段一：布局 —— 價值 400 萬美元的空頭陷阱

攻擊者在事發前長達十天內，通過一系列小規模交易測試策略。3 月 26 日，JELLY 的現貨價格在 0.0095 美元附近震蕩時，攻擊者開始實施第一階段。多個錢包地址參與其中，通過自我交易方式，在 JELLY 的永續合約市場上構建了一個價值約 400 萬美元的空頭頭寸，並輔以總計 300 萬美元的多頭對敲倉位。

階段二：突襲 —— 現貨市場的閃電戰

攻擊者在多個中心化和去中心化交易所同步發起買入攻勢。JELLY 現貨價格在短時間內被迅速拉升，從 0.008 美元起漲，不到一小時價格飆升超 500%，觸及 0.0517 美元的峯值。

階段三：引爆 —— 預言機污染與清算瀑布

現貨價格的劇烈拉升迅速傳導至 Hyperliquid 的標記價格系統。標記價格的跳漲直接引爆了攻擊者先前部署的空頭倉位，觸發了強制清算。由於 HLP 金庫作爲平台的清算對手方，根據智能合約邏輯無條件接盤，整個高風險倉位直接壓向 HLP。

階段四：餘波 —— 緊急下架與市場反思

面對來自市場和社區的巨大壓力，Hyperliquid 驗證者節點緊急投票，通過多項應對措施：立即並永久下架 JELLY 永續合約；由基金會出資，對所有非攻擊地址的受影響用戶進行全額補償。

據 Lookonchain 數據，在攻擊最激烈時，HLP 金庫的未實現虧損一度高達 1,200 萬美元。盡管 Hyperliquid 官方最終報告 24 小時內總損失控制在 70 萬美元，但整個事件對平台結構與風控體系的衝擊無疑是深遠的。

永續合約的"標記幻象"與防御命題

Jelly-My-Jelly 事件中的攻擊者並未依賴復雜的合約漏洞或加密學手段，他們只是識破並利用了標記價格生成機制的數學結構性缺陷 —— 小數據源、中位數聚合、流動性碎片化，並且集合市場的清算機制來運作。

標記價格操控的根本問題在於：

1. 預言機數據的高度相關性
2. 聚合算法對異常值的容忍性
3. 清算系統的"盲信"問題

在算法與博弈之間，建立真正的"抗操縱性"是關鍵。標記價格不應該是一個"數學上正確但博弈上脆弱"的值，而應是一個能在真實市場壓力下維持穩定性的機制產物。

Jelly-My-Jelly 事件是一個警告：在沒有深入理解博弈結構之前，任何基於"確定性"的清算機制，都是潛在的套利入口。機制走向成熟，需要的不僅是更快的撮合速度和更高的資本效率，更需要一種機制設計層面的自省能力，能識別並堵住這些被"數學美感"掩蓋的系統性風險。

願我們始終保持着一顆敬畏市場之心。數學是單純的，人是復雜的。只有歷史博弈是重復的。知其然，且知其所以然。