标记价格：永续合约的阿喀琉斯之踵

在加密货币衍生品市场中，标记价格本应作为公正的裁判，却成为引发 Hyperliquid 平台连环清算风暴的导火索。2025年3月，一个日交易额仅200万美元的小众代币 JELLY，在该平台上引发了千万美元级别的清算风暴。这次事件并非传统意义上的黑客攻击，而是一场利用系统规则的"合规性攻击"。

攻击者巧妙利用了平台的计算逻辑、算法流程与风控机制，策划了一次对市场和交易者都极具杀伤力的"无代码攻击"。本文将深入分析山寨币永续合约市场中标记价格机制的系统性风险，并对 Jelly-My-Jelly 攻击事件进行详细复盘。

永续合约的核心悖论：虚假安全感带来的清算机制倾斜

标记价格：一场误以为安全的共识游戏

标记价格的核心原则是围绕"指数价格"构建的三值中位机制。指数价格通过加权平均多个主流现货平台的价格计算得出，以提供跨平台、跨地域的公允参考价。

典型的标记价格计算方式： Mark Price = 中位数(Price1, Price2, 最新成交价)

• Price1 = 指数价格 × (1 + 资金费率基差)
• Price2 = 指数价格 + 移动平均基差

这种设计的安全性建立在数据源充足、分布合理、流动性强且难以被协同操纵的假设之上。然而，大多数山寨币的现货市场极其薄弱，攻击者只需控制几个低流动性平台的价格，就能"污染"指数价格，将恶意数据注入标记价格。

清算引擎：平台的盾，也是刃

清算引擎以标记价格为核心触发标准。许多交易所采用保守的清算参数，导致交易者可能在账户还有保证金时就被提前清算。这种机制在流动性低的资产中尤为常见，使得平台和交易者在极端行情下的利益立场产生微妙错位。

预言机困境：当现货流动性枯竭成为武器

预言机作为链上与链下信息传输的桥梁，在流动性匮乏时异常脆弱。攻击者可以通过市场操纵，污染预言机的"观测窗口"，而非直接攻破预言机。

2022年10月的 Mango Markets 攻击就是典型案例。攻击者利用 MNGO 代币的极度流动性枯竭，通过400万美元的买入将其价格拉升超过2300%，最终掏空平台1.16亿美元资产。

Hyperliquid 的结构性风险剖析

HLP 金库：民主化的做市商与清算对手盘

Hyperliquid 的 HLP 金库是一个创新性的资金池，同时承担做市商和清算对手方的角色。这种设计虽提高了资本效率，但也为攻击者提供了可被确定性利用的接盘实体。

清算机制的结构性缺陷

Jelly-My-Jelly 事件暴露了 Hyperliquid 在极端市场条件下的致命漏洞。HLP 金库内部资金池之间缺乏严格隔离，导致清算损失可能影响整个金库。同时，共享抵押机制意外绕过了自动减仓(ADL)这一系统性风险防线。

Jelly-My-Jelly 攻击的完整复盘

1. 布局：攻击者通过自我交易在 JELLY 永续合约市场构建了价值约400万美元的空头头寸。

2. 突袭：利用 JELLY 现货市场的薄弱性，在多个交易所同步发起买入攻势，将价格从0.008美元拉升至0.0517美元。

3. 引爆：污染的现货价格传导至 Hyperliquid 的标记价格系统，触发空头仓位的强制清算。

4. 余波：Hyperliquid 紧急下架 JELLY 永续合约，并对非攻击用户进行补偿。

结语：永续合约的"标记幻象"与防御命题

Jelly-My-Jelly 事件揭示了标记价格生成机制的结构性缺陷：

• 预言机数据的高度相关性
• 聚合算法对异常值的容忍性
• 清算系统对标记价格的"盲信"问题

未来，DeFi 平台需要建立真正的"抗操纵性"机制，不仅追求数学上的正确，更要在实际博弈中保持稳定性。只有深入理解市场博弈结构，才能设计出更安全、更可靠的清算机制。