prix de marque : juge impartial ou la mèche d'une liquidation en chaîne ?
En mars 2025, un jeton peu échangé, JELLY, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme d'échange. Ce qui est choquant, c'est que l'attaquant n'a pas exploité de vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité central de la plateforme — prix de marque — en une arme.
Ce n'est pas une attaque de hacker, mais une "attaque de conformité" contre les règles du système. Les attaquants ont exploité la logique de calcul et les mécanismes de contrôle des risques publiés par la plateforme pour créer une "attaque sans code" qui s'est révélée extrêmement destructrice pour le marché et les traders. Le prix de marque aurait dû servir de "point d'ancrage neutre et sécurisé" pour le marché, mais dans cet événement, il est passé de bouclier à arme.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme sur les altcoins, et effectuera un retour détaillé sur cet incident d'attaque. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants, mais a également exposé l'asymétrie intrinsèque de la logique de liquidation actuelle en matière de protection des fonds des utilisateurs en cas de conditions de marché extrêmes.
La paradoxe central des contrats perpétuels : le biais de mécanisme de liquidation causé par un faux sentiment de sécurité
prix de marque: une partie de jeu de consensus qui semblait sûre
Le principe fondamental du prix de marque repose sur un mécanisme de médiane à trois valeurs construit autour du "prix indexé". Le prix indexé est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de marché au comptant mainstream, dans le but de fournir un prix de référence équitable à l'échelle des plateformes et des régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix négocié)
L'introduction de la médiane a pour but d'éliminer les valeurs aberrantes et d'améliorer la stabilité des prix. Cependant, la sécurité de cette conception repose entièrement sur l'hypothèse que la quantité de sources de données d'entrée est suffisante, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière coordonnée.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque via une formule. Cette attaque peut entraîner des liquidations à effet de levier à grande échelle avec un coût minimal, provoquant des réactions en chaîne.
En d'autres termes, le mécanisme d'agrégation vise à disperser les risques, mais dans un marché à liquidité rare, il forme plutôt une "faiblesse centralisée" contrôlable par l'attaquant. Plus les plateformes de produits dérivés insistent sur la transparence et la prévisibilité de leurs règles, plus les attaquants peuvent "exploiter les règles de manière programmée" pour construire un chemin de destruction conforme.
Moteur de liquidation : le bouclier de la plateforme, mais aussi sa lame
Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes latentes. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus central est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce "prix de marque" "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Ce qui est encore plus préoccupant, c'est le mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation plutôt conservateurs pour éviter les risques de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix réel de perte nulle, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion que "malgré la marge disponible, ils sont liquidés prématurément", et leurs comptes tombent directement à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. La plateforme, pour se couvrir contre ses propres risques, ajuste la ligne de liquidation de manière plus conservatrice, ce qui rend plus facile pour les positions d'être "liquidées à l'avance" lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage dans les intérêts entre la plateforme et les traders en cas de conditions extrêmes.
Le moteur de liquidation aurait dû être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
la défaillance du prix de marque entraîne une distorsion du moteur de liquidation
Sous l'aversion à la perte sur la plateforme, la forte volatilité des prix d'indice et des prix de marque a encore aggravé le déplacement de cette ligne de liquidation forcée avant ( et après ).
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données multiexigences et des algorithmes de médiane. Cependant, cette théorie peut être valable lorsqu'elle est appliquée à des actifs principaux avec une liquidité abondante, mais son efficacité sera confrontée à de sérieux défis lorsqu'elle sera confrontée à des altcoins avec une liquidité rare et des lieux de négociation concentrés.
L'échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans de grands ensembles de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et très liquides. Si l'une de ces sources de données présente un prix extrême pour une raison quelconque, l'algorithme de médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur intermédiaire comme prix final, maintenant ainsi la stabilité de l'indice.
Vulnérabilité dans un petit ensemble de données : maintenant, nous considérons un scénario typique de cryptomonnaie.
Scénario à trois sources de données : si l'indice de prix de marque d'une cryptomonnaie ne contient que les prix au comptant de trois échanges (A, B, C). Dans ce cas, la médiane est le prix qui se trouve au milieu des trois. Si un acteur malveillant manipule simultanément les prix de deux échanges (, par exemple A et B), alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, l'effet protecteur de l'algorithme de médiane est presque nul.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement la capacité d'éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur de leurs transactions et le nombre d'échanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données" mentionné ci-dessus. Ainsi, le sentiment de sécurité apporté par les "indices multi-sources" revendiqués par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Très souvent, le dernier prix de transaction est équivalent au prix de marque.
Le dilemme des oracles : lorsque la liquidité des spots s'épuise et devient une arme
Le fondement du prix de marque est le prix indiciel, et la source du prix indiciel est l'oracle. Que ce soit sur CEX ou DEX, les oracles jouent le rôle de pont entre les informations on-chain et off-chain. Cependant, bien que ce pont soit crucial, il est exceptionnellement fragile en période de faible liquidité.
Oracles : un pont fragile entre la chaîne et l'extérieur
Un système de blockchain est essentiellement fermé et déterministe, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que le prix du marché des actifs. Les oracles de prix ont vu le jour, ce qui est un système intermédiaire chargé de transmettre de manière sécurisée et fiable les données hors chaîne vers la chaîne, fournissant des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats à terme perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de leur logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, il ne juge pas si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Attaque d'oracle : un attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, le faisant rapporter un prix erroné.
Manipulation du marché : des attaquants manipulent les marchés externes par des opérations réelles pour faire monter ou baisser les prix, tandis que les oracles fonctionnant normalement enregistrent et rapportent fidèlement ce prix de marché "manipulé". Le protocole sur la chaîne n'a pas été piraté, mais a eu des réactions inattendues en raison de "l'empoisonnement d'information".
Le second est la substance des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été contaminée.
Point d'attaque : lorsque les défauts de liquidité deviennent une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu négociés, même de petits ordres peuvent provoquer de fortes fluctuations de prix, offrant ainsi une opportunité aux manipulateurs.
L'attaque de Mango Markets en octobre 2022 est qualifiée de "modèle". L'attaquant Avraham Eisenberg a utilisé l'extrême épuisement de liquidité de son jeton de gouvernance MNGO (, qui à l'époque avait un volume de transactions quotidien de moins de 100 000 dollars ), en investissant environ 4 millions de dollars sur plusieurs échanges pour faire monter le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et alimenté dans le protocole en chaîne, ce qui a entraîné une explosion de sa limite d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme ( d'environ 116 millions de dollars ).
Analyse des chemins d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles : L'attaquant commence par filtrer les jetons cibles, qui remplissent généralement les conditions suivantes : des contrats à terme perpétuels ont été lancés sur une plateforme de produits dérivés populaire ; le prix de l'oracle provient de plusieurs bourses au comptant connues et peu liquides ; le volume quotidien est faible, le carnet de commandes est clairsemé, ce qui le rend facilement manipulable.
Levée de fonds : la plupart des attaquants obtiennent des fonds temporaires massifs par le biais de "prêts éclair". Ce mécanisme permet d'emprunter et de rembourser des actifs dans une seule transaction, sans aucune garantie, réduisant considérablement les coûts de manipulation.
Marché au comptant flash : L'attaquant passe un grand nombre d'ordres d'achat simultanément sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, poussant le prix vers le haut - loin de sa valeur réelle.
Pollution des oracles : les oracles lisent fidèlement les prix des échanges manipulés mentionnés ci-dessus, et même avec des mécanismes anti-volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation simultanée de plusieurs sources. Le prix de l'indice final est gravement pollué.
Infection du prix de marque : l'indice de prix contaminé pénètre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation évalue incorrectement la plage de risque, déclenchant une "liquidation" à grande échelle, entraînant d'importantes pertes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par des positions inversées ou des opérations de prêt.
Le "manuel de guerre" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les protocoles CEX ou DEX, la "transparence open source" est souvent considérée comme une vertu, en rendant publics les détails tels que le mécanisme des oracle, le poids des sources de données, la fréquence de mise à jour des prix, etc., afin d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons l'exemple d'une certaine plateforme de trading, dont l'architecture d'oracle liste publiquement toutes les bourses de sources de données et leurs poids. Les attaquants peuvent ainsi calculer avec précision combien de fonds investir dans chaque bourse la moins liquide, afin de déformer au maximum l'indice pondéré final. Ce "ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
Champ de chasse —— Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir le "champ de bataille" approprié pour la mise en œuvre - une plateforme d'échange. Bien que la manipulation des oracles soit une méthode d'attaque courante, la raison pour laquelle l'incident "Jelly-My-Jelly" a pu se produire sur cette plateforme et entraîner des conséquences graves réside dans la structure de liquidité et le mécanisme de liquidation uniques de cette plateforme. Ces conceptions, qui visent à améliorer l'expérience utilisateur et l'efficacité du capital, bien que pleines d'innovation, ont également, par inadvertance, fourni aux attaquants un "terrain de chasse" idéal.
HLP coffre-fort : market makers et contreparties de clearing démocratisés
L'une des innovations clés d'une plateforme de trading est son coffre HLP - un pool de fonds géré de manière unifiée par le protocole, portant une double fonction.
Tout d'abord, HLP agit en tant que market maker actif de la plateforme. Il permet aux utilisateurs de la communauté de déposer des USDC dans le coffre, de participer à la stratégie de market making automatisée de la plateforme et de partager les bénéfices( ou les pertes) proportionnellement. Ce mécanisme de market making "démocratisé" permet à HLP de fournir en continu des carnets d'ordres pour de nombreuses altcoins manquant de liquidité. C'est pourquoi, même des tokens de petite capitalisation comme JELLY, qui ont une liquidité extrêmement faible, peuvent soutenir des positions à effet de levier de plusieurs millions de dollars sur cette plateforme — ce qui est difficile à réaliser sur des échanges traditionnels.
Cependant, ce design ne
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
8
Reposter
Partager
Commentaire
0/400
DegenWhisperer
· 08-08 23:34
Faites exploser tous les idiots de manière à gagner pour toujours.
Voir l'originalRépondre0
ProbablyNothing
· 08-07 20:28
Conformité attaque, n'est-ce pas ? Je ne peux plus tenir.
Voir l'originalRépondre0
MrDecoder
· 08-07 10:19
Eh bien, prix de marque, on peut jouer comme ça.
Voir l'originalRépondre0
faded_wojak.eth
· 08-06 05:19
Encore perdu, hein ?
Voir l'originalRépondre0
SadMoneyMeow
· 08-06 05:18
Encore perdu de l'argent.
Voir l'originalRépondre0
ZeroRushCaptain
· 08-06 05:17
Encore un échec monumental des pigeons dans la fusion de l'acier...
Voir l'originalRépondre0
SchroedingerMiner
· 08-06 05:10
Trading des cryptomonnaies pendant deux ans, gagner deux cents millions.
Voir l'originalRépondre0
FlashLoanLord
· 08-06 05:09
Il y a-t-il encore quelqu'un qui se souvient du Rug Pull d'ido à l'époque ?
Risques du mécanisme de prix de marque : pièges de liquidation sur le marché des contrats à terme perpétuels pour les alts.
prix de marque : juge impartial ou la mèche d'une liquidation en chaîne ?
En mars 2025, un jeton peu échangé, JELLY, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme d'échange. Ce qui est choquant, c'est que l'attaquant n'a pas exploité de vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité central de la plateforme — prix de marque — en une arme.
Ce n'est pas une attaque de hacker, mais une "attaque de conformité" contre les règles du système. Les attaquants ont exploité la logique de calcul et les mécanismes de contrôle des risques publiés par la plateforme pour créer une "attaque sans code" qui s'est révélée extrêmement destructrice pour le marché et les traders. Le prix de marque aurait dû servir de "point d'ancrage neutre et sécurisé" pour le marché, mais dans cet événement, il est passé de bouclier à arme.
Cet article analysera en profondeur les risques systémiques du mécanisme de prix de marque sur le marché des contrats à terme sur les altcoins, et effectuera un retour détaillé sur cet incident d'attaque. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants, mais a également exposé l'asymétrie intrinsèque de la logique de liquidation actuelle en matière de protection des fonds des utilisateurs en cas de conditions de marché extrêmes.
La paradoxe central des contrats perpétuels : le biais de mécanisme de liquidation causé par un faux sentiment de sécurité
prix de marque: une partie de jeu de consensus qui semblait sûre
Le principe fondamental du prix de marque repose sur un mécanisme de médiane à trois valeurs construit autour du "prix indexé". Le prix indexé est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de marché au comptant mainstream, dans le but de fournir un prix de référence équitable à l'échelle des plateformes et des régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix négocié)
L'introduction de la médiane a pour but d'éliminer les valeurs aberrantes et d'améliorer la stabilité des prix. Cependant, la sécurité de cette conception repose entièrement sur l'hypothèse que la quantité de sources de données d'entrée est suffisante, que leur distribution est raisonnable, que la liquidité est forte et qu'elles sont difficiles à manipuler de manière coordonnée.
Cependant, dans la réalité, la plupart des marchés au comptant des altcoins sont extrêmement faibles. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, injectant ainsi des données malveillantes de manière légitime dans le prix de marque via une formule. Cette attaque peut entraîner des liquidations à effet de levier à grande échelle avec un coût minimal, provoquant des réactions en chaîne.
En d'autres termes, le mécanisme d'agrégation vise à disperser les risques, mais dans un marché à liquidité rare, il forme plutôt une "faiblesse centralisée" contrôlable par l'attaquant. Plus les plateformes de produits dérivés insistent sur la transparence et la prévisibilité de leurs règles, plus les attaquants peuvent "exploiter les règles de manière programmée" pour construire un chemin de destruction conforme.
Moteur de liquidation : le bouclier de la plateforme, mais aussi sa lame
Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes latentes. Une fois que la marge restante tombe en dessous du "taux de marge de maintien", le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus central est le prix de marque, et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce "prix de marque" "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Ce qui est encore plus préoccupant, c'est le mécanisme de "liquidation forcée". De nombreuses bourses adoptent des paramètres de liquidation plutôt conservateurs pour éviter les risques de liquidation. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix réel de perte nulle, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion que "malgré la marge disponible, ils sont liquidés prématurément", et leurs comptes tombent directement à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. La plateforme, pour se couvrir contre ses propres risques, ajuste la ligne de liquidation de manière plus conservatrice, ce qui rend plus facile pour les positions d'être "liquidées à l'avance" lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage dans les intérêts entre la plateforme et les traders en cas de conditions extrêmes.
Le moteur de liquidation aurait dû être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des bénéfices, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
la défaillance du prix de marque entraîne une distorsion du moteur de liquidation
Sous l'aversion à la perte sur la plateforme, la forte volatilité des prix d'indice et des prix de marque a encore aggravé le déplacement de cette ligne de liquidation forcée avant ( et après ).
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données multiexigences et des algorithmes de médiane. Cependant, cette théorie peut être valable lorsqu'elle est appliquée à des actifs principaux avec une liquidité abondante, mais son efficacité sera confrontée à de sérieux défis lorsqu'elle sera confrontée à des altcoins avec une liquidité rare et des lieux de négociation concentrés.
L'échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans de grands ensembles de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et très liquides. Si l'une de ces sources de données présente un prix extrême pour une raison quelconque, l'algorithme de médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur intermédiaire comme prix final, maintenant ainsi la stabilité de l'indice.
Vulnérabilité dans un petit ensemble de données : maintenant, nous considérons un scénario typique de cryptomonnaie.
Scénario à trois sources de données : si l'indice de prix de marque d'une cryptomonnaie ne contient que les prix au comptant de trois échanges (A, B, C). Dans ce cas, la médiane est le prix qui se trouve au milieu des trois. Si un acteur malveillant manipule simultanément les prix de deux échanges (, par exemple A et B), alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, l'effet protecteur de l'algorithme de médiane est presque nul.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement la capacité d'éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur de leurs transactions et le nombre d'échanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège des "petits ensembles de données" mentionné ci-dessus. Ainsi, le sentiment de sécurité apporté par les "indices multi-sources" revendiqués par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Très souvent, le dernier prix de transaction est équivalent au prix de marque.
Le dilemme des oracles : lorsque la liquidité des spots s'épuise et devient une arme
Le fondement du prix de marque est le prix indiciel, et la source du prix indiciel est l'oracle. Que ce soit sur CEX ou DEX, les oracles jouent le rôle de pont entre les informations on-chain et off-chain. Cependant, bien que ce pont soit crucial, il est exceptionnellement fragile en période de faible liquidité.
Oracles : un pont fragile entre la chaîne et l'extérieur
Un système de blockchain est essentiellement fermé et déterministe, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que le prix du marché des actifs. Les oracles de prix ont vu le jour, ce qui est un système intermédiaire chargé de transmettre de manière sécurisée et fiable les données hors chaîne vers la chaîne, fournissant des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats à terme perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de leur logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, il ne juge pas si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque radicalement différents :
Attaque d'oracle : un attaquant modifie par des moyens techniques la source de données ou le protocole de l'oracle, le faisant rapporter un prix erroné.
Manipulation du marché : des attaquants manipulent les marchés externes par des opérations réelles pour faire monter ou baisser les prix, tandis que les oracles fonctionnant normalement enregistrent et rapportent fidèlement ce prix de marché "manipulé". Le protocole sur la chaîne n'a pas été piraté, mais a eu des réactions inattendues en raison de "l'empoisonnement d'information".
Le second est la substance des événements Mango Markets et Jelly-My-Jelly : ce n'est pas l'oracle qui a été compromis, mais plutôt sa "fenêtre d'observation" qui a été contaminée.
Point d'attaque : lorsque les défauts de liquidité deviennent une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de la liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu négociés, même de petits ordres peuvent provoquer de fortes fluctuations de prix, offrant ainsi une opportunité aux manipulateurs.
L'attaque de Mango Markets en octobre 2022 est qualifiée de "modèle". L'attaquant Avraham Eisenberg a utilisé l'extrême épuisement de liquidité de son jeton de gouvernance MNGO (, qui à l'époque avait un volume de transactions quotidien de moins de 100 000 dollars ), en investissant environ 4 millions de dollars sur plusieurs échanges pour faire monter le prix de MNGO de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et alimenté dans le protocole en chaîne, ce qui a entraîné une explosion de sa limite d'emprunt, permettant finalement de "vider légalement" tous les actifs de la plateforme ( d'environ 116 millions de dollars ).
Analyse des chemins d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles : L'attaquant commence par filtrer les jetons cibles, qui remplissent généralement les conditions suivantes : des contrats à terme perpétuels ont été lancés sur une plateforme de produits dérivés populaire ; le prix de l'oracle provient de plusieurs bourses au comptant connues et peu liquides ; le volume quotidien est faible, le carnet de commandes est clairsemé, ce qui le rend facilement manipulable.
Levée de fonds : la plupart des attaquants obtiennent des fonds temporaires massifs par le biais de "prêts éclair". Ce mécanisme permet d'emprunter et de rembourser des actifs dans une seule transaction, sans aucune garantie, réduisant considérablement les coûts de manipulation.
Marché au comptant flash : L'attaquant passe un grand nombre d'ordres d'achat simultanément sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, poussant le prix vers le haut - loin de sa valeur réelle.
Pollution des oracles : les oracles lisent fidèlement les prix des échanges manipulés mentionnés ci-dessus, et même avec des mécanismes anti-volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation simultanée de plusieurs sources. Le prix de l'indice final est gravement pollué.
Infection du prix de marque : l'indice de prix contaminé pénètre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation évalue incorrectement la plage de risque, déclenchant une "liquidation" à grande échelle, entraînant d'importantes pertes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par des positions inversées ou des opérations de prêt.
Le "manuel de guerre" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les protocoles CEX ou DEX, la "transparence open source" est souvent considérée comme une vertu, en rendant publics les détails tels que le mécanisme des oracle, le poids des sources de données, la fréquence de mise à jour des prix, etc., afin d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons l'exemple d'une certaine plateforme de trading, dont l'architecture d'oracle liste publiquement toutes les bourses de sources de données et leurs poids. Les attaquants peuvent ainsi calculer avec précision combien de fonds investir dans chaque bourse la moins liquide, afin de déformer au maximum l'indice pondéré final. Ce "ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
Champ de chasse —— Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir le "champ de bataille" approprié pour la mise en œuvre - une plateforme d'échange. Bien que la manipulation des oracles soit une méthode d'attaque courante, la raison pour laquelle l'incident "Jelly-My-Jelly" a pu se produire sur cette plateforme et entraîner des conséquences graves réside dans la structure de liquidité et le mécanisme de liquidation uniques de cette plateforme. Ces conceptions, qui visent à améliorer l'expérience utilisateur et l'efficacité du capital, bien que pleines d'innovation, ont également, par inadvertance, fourni aux attaquants un "terrain de chasse" idéal.
HLP coffre-fort : market makers et contreparties de clearing démocratisés
L'une des innovations clés d'une plateforme de trading est son coffre HLP - un pool de fonds géré de manière unifiée par le protocole, portant une double fonction.
Tout d'abord, HLP agit en tant que market maker actif de la plateforme. Il permet aux utilisateurs de la communauté de déposer des USDC dans le coffre, de participer à la stratégie de market making automatisée de la plateforme et de partager les bénéfices( ou les pertes) proportionnellement. Ce mécanisme de market making "démocratisé" permet à HLP de fournir en continu des carnets d'ordres pour de nombreuses altcoins manquant de liquidité. C'est pourquoi, même des tokens de petite capitalisation comme JELLY, qui ont une liquidité extrêmement faible, peuvent soutenir des positions à effet de levier de plusieurs millions de dollars sur cette plateforme — ce qui est difficile à réaliser sur des échanges traditionnels.
Cependant, ce design ne