La trampa de la mediana: ¿cómo JELLY manipula la marca de precio para detonar el dominó de liquidaciones de Hyperliquid?

Cuando el mensajero leal fue armado - marca de precio, este juez justo se convirtió en la mecha que encendió la tormenta de liquidaciones en cadena de Hyperliquid.

En marzo de 2025, un token poco conocido con un volumen de comercio diario inferior a 2 millones de dólares - JELLY - desató una tormenta de liquidación de millones de dólares en Hyperliquid. Lo sorprendente es que el atacante no alteró el contrato inteligente ni aprovechó las vulnerabilidades tradicionales del código, sino que convirtió el mecanismo de seguridad más fundamental de la plataforma - la marca de precio - en un arma.

Esto no fue un ataque de hackers, sino un “ataque de cumplimiento” a las reglas del sistema. Los atacantes aprovecharon la lógica de cálculo, los procesos algorítmicos y los mecanismos de control de riesgos que la plataforma tiene publicados, creando un “ataque sin código” que resultó ser extremadamente letal para el mercado y los comerciantes. El marca de precio, que debería haber sido un ancla de “neutralidad y seguridad” en el mercado, se convirtió en una espada en este evento.

Este artículo analizará en profundidad los riesgos sistémicos del mecanismo de marca de precio en el mercado de contratos perpetuos de altcoins desde dos niveles: teórico y práctico, y realizará un análisis detallado del incidente de ataque Jelly-My-Jelly. Este evento no solo reveló la fragilidad estructural del diseño de oráculos, la naturaleza de doble filo de los pools de liquidez innovadores (HLP Vault), sino que también expuso la asimetría inherente en la protección de los fondos de los usuarios bajo la lógica de liquidación predominante en condiciones de mercado extremas.

Primera parte: La paradoja central del contrato perpetuo: el sesgo del mecanismo de liquidación causado por una falsa sensación de seguridad.

1.1 marca de precio：una tendencia de liquidación provocada por un juego de consenso que se creía seguro

Para entender cómo la marca de precio se convierte en un punto de entrada para ataques, primero debemos desglosar su lógica de composición. A pesar de que los métodos de cálculo de los distintos intercambios varían ligeramente, su principio fundamental es altamente consistente: un mecanismo de mediana de tres valores construido en torno al “precio índice”.

• El precio índice (Index Price) es la base de la marca de precio. No proviene de la propia bolsa de derivados, sino que se calcula mediante un promedio ponderado de los precios de este activo en múltiples plataformas de intercambio de criptomonedas líderes (como Binance, Coinbase, Kraken, etc.), con el objetivo de proporcionar un precio de referencia justo a través de plataformas y regiones.

Un método típico para calcular la marca de precio es el siguiente:

Marca de precio = Mediana (Precio1, Precio2, Último precio negociado)

• Price1 = precio índice × (1 + diferencial de tasa de financiación ): ancla el precio del contrato al precio índice y considera las expectativas del mercado.
• Price2 = precio índice + diferencia media móvil: se utiliza para suavizar las anomalías de precios a corto plazo.
• Último precio negociado = el último precio de transacción en la plataforma de derivados.

La introducción de la mediana tiene como objetivo eliminar los valores atípicos y mejorar la estabilidad de los precios. Sin embargo, la seguridad de este diseño se basa completamente en una suposición clave: que la cantidad de fuentes de datos de entrada es suficiente, que su distribución es razonable, que la liquidez es alta y que es difícil de manipular de manera colaborativa.

Sin embargo, en la realidad, el mercado spot de la gran mayoría de las altcoins es extremadamente débil. Una vez que un atacante puede controlar los precios de varias plataformas de baja liquidez, puede “contaminar” el precio del índice, inyectando así datos maliciosos de manera legítima a través de la fórmula de la marca de precio. Este ataque puede provocar liquidaciones masivas de apalancamiento a un costo mínimo, desencadenando una reacción en cadena.

En otras palabras, el mecanismo de agregación tiene como objetivo dispersar el riesgo, pero en un mercado con escasa liquidez, en realidad crea una “debilidad centralizada” que puede ser controlada por los atacantes. Cuanto más enfatiza una plataforma de derivados la transparencia y previsibilidad de sus reglas, más pueden los atacantes “explotar programáticamente las reglas”, construyendo un camino de destrucción conforme a la normativa.

1.2 Motor de liquidación: el escudo de la plataforma, y también su espada

Cuando el precio del mercado se mueve rápidamente en una dirección desfavorable, el margen del trader será erosionado por las pérdidas no realizadas. Una vez que el margen restante caiga por debajo de la “marca de precio” (Maintenance Margin), se activará el motor de liquidación.

En estos procesos, el estándar de activación más crítico es la marca de precio (Mark price), y no el último precio de transacción de la plataforma. Esto significa que, aunque el precio de transacción del mercado actual no haya alcanzado su línea de liquidación, tan pronto como esa “marca de precio” “invisible” se alcance, la liquidación se activará de inmediato.

Más preocupante es el mecanismo de “liquidación forzada” (o liquidación anticipada).

En muchas plataformas de intercambio, para evitar el riesgo de liquidación, los sistemas de control de riesgos a menudo utilizan parámetros de liquidación más conservadores. Cuando se activa la liquidación forzada, incluso si el precio de liquidación es mejor que el precio real de pérdida cero, la plataforma generalmente no reembolsará esta parte del “excedente de liquidación forzada”, sino que lo inyectará directamente en el fondo de seguros de la plataforma. Esto lleva a los operadores a tener la impresión de que “aún hay margen, pero se ha liquidado anticipadamente”, y su cuenta se reduce a cero.

Este mecanismo es especialmente común en activos con baja liquidez. Para cubrir sus propios riesgos, la plataforma ajustará la línea de liquidación de manera más conservadora, lo que facilita que las posiciones sean “liquidadas anticipadamente” durante las fluctuaciones de precios. Su lógica es razonable, pero el resultado provoca un sutil desajuste en las posiciones de interés de la plataforma y los traders en situaciones extremas.

El motor de liquidación debería ser una herramienta de control de riesgos neutral, pero en la asignación de beneficios, la selección de parámetros y la lógica de activación, muestra una tendencia a la rentabilidad de la plataforma.

1.3 La invalidez de la marca de precio provoca la distorsión del motor de liquidación

Bajo la tendencia de aversión a las pérdidas en esta plataforma, la fuerte fluctuación del precio del índice y la marca de precio agrava aún más el desplazamiento hacia adelante (hacia atrás) del dinero de liquidación forzada.

La teoría de la marca de precio proporciona un estándar de precio justo y resistente a la manipulación al agregar múltiples fuentes de datos y algoritmos de mediana. Sin embargo, esta teoría puede ser válida cuando se aplica a activos principales con alta liquidez, pero su efectividad enfrentará serios desafíos cuando se trata de criptomonedas con poca liquidez y mercados concentrados.

El fallo de la mediana: la trampa estadística de la concentración de fuentes de datos

• Efectividad en grandes conjuntos de datos: Supongamos que un índice de precios contiene 10 fuentes de datos independientes y de alta liquidez. Si una de estas fuentes presenta una cotización extrema por alguna razón, el algoritmo de mediana puede identificarla fácilmente como un valor atípico e ignorarla, tomando el valor medio como el precio final, manteniendo así la estabilidad del índice.
• Vulnerabilidades en conjuntos de datos pequeños: ahora, consideramos un escenario típico de altcoin.
• Escenario de tres fuentes de datos: si el índice de marca de precio de una criptomoneda solo incluye los precios al contado de tres intercambios (A, B, C). En este caso, la mediana es el que ocupa la posición intermedia entre los tres precios. Si un actor malicioso manipula simultáneamente los precios de dos de los intercambios (por ejemplo, A y B), entonces, sin importar qué tan realista sea el precio de C, la mediana estará determinada por los precios manipulados de A y B. En este punto, la función de protección del algoritmo de mediana es casi nula.
• Escenario de dos fuentes de datos: si el índice solo contiene dos fuentes de datos, la mediana es matemáticamente equivalente al promedio de los dos precios. En este caso, el algoritmo pierde completamente la capacidad de eliminar valores atípicos. Cualquier fluctuación drástica de una fuente de datos se transmitirá directamente y sin atenuación a la marca de precio.

Para la gran mayoría de las altcoins, la profundidad de su comercio y el número de intercambios en los que están listadas son muy limitados, lo que hace que su índice de precios caiga fácilmente en la trampa del “pequeño conjunto de datos” mencionado anteriormente. Por lo tanto, la sensación de seguridad que aporta el “índice multifuente” que afirman los intercambios, a menudo es solo una ilusión en el mundo de las altcoins. Muchas veces, el último precio de transacción a menudo se equipara a la marca de precio.

Segunda parte: Dilema del oráculo: cuando la liquidez de spot se agota y se convierte en un arma

La base de la marca de precio es el precio índice, y la fuente del precio índice es el oráculo. Ya sea en CEX o DEXi, el oráculo desempeña el papel de puente en la transmisión de información entre la cadena y fuera de la cadena. Sin embargo, este puente, aunque crucial, resulta ser excepcionalmente frágil en momentos de escasez de liquidez.

2.1 Oráculo: un puente frágil que conecta la cadena y fuera de la cadena

El sistema de blockchain es esencialmente cerrado y determinista, y los contratos inteligentes no pueden acceder proactivamente a datos fuera de la cadena, como el precio de mercado de los activos. Los oráculos han surgido como un sistema de middleware, encargado de transmitir de manera segura y confiable los datos fuera de la cadena a la cadena, proporcionando entradas de información del “mundo real” para el funcionamiento de los contratos inteligentes.

En plataformas de negociación de contratos perpetuos o en protocolos de préstamo, los datos de precios proporcionados por los oráculos constituyen casi la piedra angular de su lógica de gestión de riesgos. Sin embargo, un hecho que a menudo se pasa por alto es que un oráculo “honesto” no significa que informe precios “razonables”. La responsabilidad del oráculo es registrar fielmente el estado del mundo externo que puede observar, no juzga si los precios se desvían de los fundamentos. Esta característica revela dos tipos de caminos de ataque completamente diferentes:

• Ataque de oráculo (Oracle Exploit): El atacante manipula la fuente de datos del oráculo o el protocolo mediante técnicas, haciendo que informe precios incorrectos.
• Manipulación del mercado (Market Manipulation): Los atacantes operan en mercados externos para manipular intencionadamente los precios al alza o a la baja, mientras que un oráculo en funcionamiento registra y reporta el precio del mercado “manipulado”. El protocolo en la cadena no ha sido invadido, pero reacciona de manera no esperada debido a la “contaminación de información”.

El último, es la esencia de los eventos de Mango Markets y Jelly-My-Jelly: no es que el oráculo haya sido comprometido, sino que su “ventana de observación” fue contaminada.

2.2 Punto de apoyo del ataque: cuando la falta de liquidez se convierte en un arma

El núcleo de este tipo de ataque radica en aprovechar la desventaja de liquidez de los activos objetivo en el mercado al contado. Para los activos con poco volumen de negociación, incluso órdenes pequeñas pueden provocar fluctuaciones de precios drásticas, lo que brinda oportunidades a los manipuladores.

El ataque a Mango Markets en octubre de 2022 es considerado un “ejemplo”. El atacante Avraham Eisenberg aprovechó la extrema falta de liquidez de su token de gobernanza MNGO (con un volumen diario de comercio de menos de 100,000 dólares en ese momento), invirtiendo aproximadamente 4 millones de dólares en múltiples intercambios, logrando aumentar el precio de MNGO más del 2300% en un tiempo muy corto. Este “precio anómalo” fue registrado completamente por oráculos y alimentado a los protocolos en cadena, lo que provocó un aumento explosivo en su capacidad de préstamo, vaciando finalmente “legalmente” todos los activos de la plataforma (alrededor de 116 millones de dólares).

Análisis detallado de la ruta de ataque: cinco pasos para romper la línea de defensa del protocolo

1. Selección de objetivos (Target Selection): Los atacantes primero seleccionan el token objetivo, que generalmente cumple con las siguientes condiciones: se ha lanzado un contrato perpetuo en alguna plataforma de derivados principal; el precio del oráculo proviene de varios intercambios de spot conocidos y con baja liquidez; el volumen de negociación diario es bajo, el libro de órdenes es escaso y es fácil de manipular.
2. Adquisición de capital (Capital Acquisition): La mayoría de los atacantes obtienen grandes fondos temporales a través de “préstamos relámpago (Flash Loans)”. Este mecanismo permite pedir prestados y devolver activos en una sola transacción, sin necesidad de colateral, lo que reduce significativamente los costos de manipulación.
3. Blitz del mercado al contado (Spot Market Blitz): un atacante emite una gran cantidad de órdenes de compra de manera sincronizada en todos los intercambios monitoreados por oráculos en un período de tiempo muy corto. Estas órdenes barren rápidamente las órdenes de venta, empujando el precio a niveles altos, muy lejos de su valor real.
4. Contaminación del oráculo (Oracle Contamination): El oráculo lee los precios fielmente de los intercambios manipulados mencionados anteriormente, incluso al utilizar mecanismos de resistencia a la volatilidad como la mediana o el promedio ponderado, es difícil resistir la manipulación simultánea de múltiples fuentes. El precio índice resultante se contamina gravemente.
5. Infección de marca de precio (Mark Price Infection): el precio índice contaminado entra en la plataforma de derivados, afectando el cálculo de la marca de precio. El motor de liquidación juzga erróneamente el rango de riesgo, desencadenando una “liquidación” masiva, lo que provoca grandes pérdidas para los traders, mientras que los atacantes pueden lograr arbitraje a través de posiciones en sentido contrario o operaciones de préstamo.

Manual de operaciones del atacante: la espada de doble filo de la transparencia

Tanto los protocolos CEX como DEX suelen tener como virtud la “transparencia de código abierto”, publicando detalles como su mecanismo de oráculo, el peso de las fuentes de datos, la frecuencia de actualización de precios, etc., con el objetivo de establecer la confianza del usuario. Sin embargo, para los atacantes, esta información se convierte en un “manual” para elaborar planes de ataque.

Tomando como ejemplo a Hyperliquid, su arquitectura de oráculos publica todas las fuentes de datos de los intercambios y sus pesos. A partir de esto, un atacante puede calcular con precisión cuánto capital invertir en cada intercambio con menor liquidez, lo que permite distorsionar al máximo el índice ponderado final. Este “ingeniería algorítmica” hace que el ataque sea controlable, predecible y minimiza costos.

Las matemáticas son simples, pero las personas son complejas.

Parte Tres: Campo de Caza —— Análisis de los riesgos estructurales de Hyperliquid

Después de entender el principio del ataque, el “atacante” debe elegir el “campo de batalla” adecuado para llevar a cabo su plan: Hyperliquid. Aunque manipular oráculos es un método de ataque común, la razón por la cual el evento “Jelly-My-Jelly” pudo ocurrir en Hyperliquid y causar consecuencias graves radica en la arquitectura de liquidez y el mecanismo de liquidación únicos de esta plataforma. Estos diseños, que buscan mejorar la experiencia del usuario y la eficiencia del capital, aunque están llenos de innovación, también han proporcionado accidentalmente un “campo de caza” ideal para los atacantes.

3.1 HLP Bóveda: Creadores de mercado y contraparte de liquidación democratizados

Una de las innovaciones centrales de Hyperliquid es su tesorería HLP, un fondo gestionado de manera unificada por el protocolo que cumple con una doble función. (Introducción detallada de HLP:

）

Primero, HLP actúa como el creador de mercado activo de la plataforma. Permite a los usuarios de la comunidad depositar USDC en la tesorería, participar en la estrategia de creación de mercado automatizada de la plataforma y compartir las ganancias (o pérdidas) proporcionalmente. Este mecanismo de creación de mercado “democratizado” permite que HLP proporcione continuamente una oferta y demanda para numerosas altcoins con escasa liquidez. Por esta razón, incluso tokens de menor capitalización y con liquidez extremadamente baja, como JELLY, pueden soportar posiciones apalancadas de varios millones de dólares en Hyperliquid, algo que es difícil de lograr en intercambios tradicionales. (En palabras sencillas, se puede abrir posición.)

Sin embargo, este diseño no solo atrae a los especuladores, sino también a una existencia más peligrosa: atacantes que manipulan deliberadamente el mercado.

Lo más importante es que HLP también actúa como el “respaldo de liquidación y stop-loss” de la plataforma, es decir, como la contraparte última de la liquidación. Cuando las posiciones apalancadas son liquidadas forzosamente y no hay suficientes liquidadores en el mercado dispuestos a asumirlas, el protocolo automáticamente transferirá estas posiciones de alto riesgo al tesoro de HLP, y lo hará a precios fijados por el oráculo.

La consecuencia de este mecanismo es que el HLP se convierte en una entidad de compra que puede ser utilizada de manera determinista y que carece de capacidad de juicio autónomo. Los atacantes, al desplegar su estrategia, pueden predecir completamente que, una vez que se active la liquidación de su “posición tóxica”, será asumida por alguien: no por un contraparte aleatorio e impredecible en el mercado, sino por un sistema automatizado que ejecuta la lógica del contrato inteligente y actúa al 100% según las reglas: el HLP vault.

3.2 Defectos estructurales del mecanismo de liquidación

El evento Jelly-My-Jelly expuso una falla fatal en Hyperliquid bajo condiciones de mercado extremas, cuyo origen radica en la estructura de fondos y el modelo de liquidación dentro del tesoro HLP.

En el momento del ataque, no existe un mecanismo de aislamiento estricto entre el “fondo de reserva de liquidación” que se encarga de manejar las posiciones liquidadas y otros fondos que ejecutan estrategias de creación de mercado, etc. Comparten la misma garantía. Cuando la posición corta del atacante de 4 millones de dólares se liquida debido a la subida del marca de precio, esta posición se transfiere completamente al fondo de reserva de liquidación. A medida que el precio de JELLY sigue aumentando, las pérdidas de esta posición también continúan ampliándose.

El atacante solo necesita activar la liquidación (reducción activa del margen) para “transferir sin problemas” su posición de pérdida a los compradores dentro del sistema: el tesoro HLP. El atacante sabe bien que las reglas del protocolo obligarán a HLP a asumir la compra en el momento más desfavorable del precio, convirtiéndose en su “comprador incondicional”.

Se supone que, cuando las pérdidas en la posición son tan grandes que amenazan la estabilidad del sistema de la plataforma, debería activarse automáticamente el mecanismo de reducción de posición ADL, obligando a los usuarios en la dirección opuesta a reducir sus posiciones, para distribuir el riesgo. Pero esta vez, ADL no se activó.

La razón es que, aunque el fondo de reserva de liquidación ha caído en pérdidas profundas, puede recurrir a los activos colaterales de otros fondos de estrategia en todo el tesoro HLP, lo que lleva al sistema a determinar que la “salud general” del tesoro HLP sigue siendo buena, y por lo tanto no se activa el mecanismo de control de riesgos. Este diseño de mecanismo de colateral compartido eludió inesperadamente la línea de defensa contra riesgos sistémicos del ADL, haciendo que las pérdidas que deberían ser asumidas por el mercado en su conjunto finalmente estallaran concentradamente en el tesoro HLP.

Parte Cuarta: Análisis de Casos — Revisión Completa del Ataque Jelly-My-Jelly

El 26 de marzo de 2025, se llevó a cabo un ataque meticulosamente planeado en Hyperliquid, con un objetivo directo en Jelly-My-Jelly (JELLY). Este ataque combinó de manera ingeniosa la manipulación de la liquidez, una comprensión profunda del mecanismo de oráculos, y la explotación de las debilidades estructurales de la plataforma, convirtiéndose en un caso clásico de deconstrucción de los patrones de ataque en DeFi moderna.

4.1 Etapa Uno: Disposición —— Trampa de cortos valorada en 4 millones de dólares

Este ataque no fue un impulso momentáneo. Los datos en la cadena muestran que el atacante estuvo probando estrategias a través de una serie de transacciones a pequeña escala durante diez días antes del incidente, claramente preparándose para la acción final.

El 26 de marzo, mientras el precio al contado de JELLY fluctuaba alrededor de 0.0095 dólares, el atacante comenzó a implementar la primera fase. Varios direcciones de billetera participaron, siendo la dirección 0xde96 el ejecutor clave. El atacante construyó de manera silenciosa una posición corta de aproximadamente 4 millones de dólares en el mercado de contratos perpetuos de JELLY a través de transacciones autoejecutadas (es decir, actuando simultáneamente como comprador y vendedor), y complementó esto con un total de 3 millones de dólares en posiciones largas de contrapartida. El objetivo de estas transacciones de contrapartida era maximizar el OI de contratos no liquidados, mientras se evitaban fluctuaciones anómalas en el mercado, sentando así las bases para la posterior manipulación de precios e inducción a liquidaciones.

4.2 Etapa dos: Incursión —— Batalla relámpago en el mercado al contado

Una vez completada la configuración, el ataque entra en la segunda fase: un rápido aumento del precio al contado. JELLY es el objetivo soñado por los manipuladores. Su capitalización de mercado es de solo aproximadamente 15 millones de dólares, y su libro de órdenes en los intercambios principales es extremadamente delgado. Según los datos de Kaiko Research, su profundidad de mercado del 1% es de solo 72,000 dólares, muy por debajo de otros tokens similares.

Los atacantes aprovecharon este punto para lanzar un ataque de compra sincronizado en múltiples intercambios centralizados y descentralizados. Debido a la falta de soporte de venta, el precio al contado de JELLY se disparó rápidamente en un corto período de tiempo. Comenzando desde 0.008 dólares, en menos de una hora el precio se disparó más del 500%, alcanzando un pico de 0.0517 dólares. Al mismo tiempo, el volumen de transacciones también creció de manera explosiva. Solo en el intercambio Bybit, el volumen de transacciones de JELLY superó los 150 millones de dólares en un solo día, estableciendo un nuevo récord histórico.

4.3 Fase tres: Explosión —— Contaminación del oráculo y cascada de liquidación

El drástico aumento del precio al contado se transmitió rápidamente al sistema de marca de precio de Hyperliquid. El mecanismo de oráculo de Hyperliquid utiliza un algoritmo de mediana ponderada de múltiples fuentes, integrando datos al contado de varios intercambios como Binance, OKX, Bybit, entre otros. Debido a que los atacantes actuaron de manera sincronizada en estas fuentes clave, el precio índice agregado se contaminó de manera efectiva, lo que llevó a un aumento sincronizado del precio de marca interno de la plataforma.

La subida repentina de la marca de precio activó directamente las posiciones cortas que los atacantes habían desplegado previamente. A medida que las pérdidas se ampliaron, esta posición de 4 millones de dólares provocó una liquidación forzada. En este momento, no se trataba de un ataque fallido, sino del núcleo del diseño del ataque.

Dado que el tesorería de HLP actúa como contraparte de liquidación de la plataforma, asumiendo la posición incondicionalmente según la lógica del contrato inteligente, y el sistema de liquidación no logró activar el mecanismo de ADL (reducción automática de posiciones) para distribuir el riesgo, toda la posición de alto riesgo se carga directamente sobre HLP. En otras palabras, el atacante logró “trasladar socialmente” sus pérdidas por liquidación, haciendo que los proveedores de liquidez de HLP paguen por su comportamiento manipulado.

4.4 Etapa Cuatro: Olas Restantes — Retiro Urgente y Reflexión del Mercado

Mientras Hyperliquid se sumía en el caos, el mercado externo también mostró reacciones complejas. En la hora en que JELLY fue manipulado a su punto más alto, Binance y OKX lanzaron casi simultáneamente los contratos perpetuos de JELLY. El mercado interpretó generalmente esta acción como un “saqueo” a su competidor Hyperliquid, lo que intensificó aún más la volatilidad del mercado de JELLY y amplió indirectamente las posibles pérdidas del tesoro HLP.

Ante la enorme presión del mercado y la comunidad, los nodos validador de Hyperliquid votaron de emergencia, aprobando varias medidas de respuesta: retirar inmediatamente y de forma permanente el contrato perpetuo JELLY; la fundación financiará la compensación total a todos los usuarios afectados en direcciones no atacantes.

Según los datos de Lookonchain, en el momento más intenso del ataque, las pérdidas no realizadas del tesoro HLP alcanzaron los 12 millones de dólares. Aunque Hyperliquid informó que la pérdida total en 24 horas se controló en 700,000 dólares, el impacto de todo el incidente en la estructura de la plataforma y el sistema de control de riesgos es, sin duda, profundo.

Proceso del evento JELLY

Conclusión —— La “marca de precio” y el planteamiento defensivo de los contratos perpetuos

Los atacantes en el evento Jelly-My-Jelly no dependieron de complejas vulnerabilidades de contratos o métodos criptográficos; simplemente identificaron y aprovecharon los defectos estructurales matemáticos del mecanismo de generación de marca de precio: pequeñas fuentes de datos, agregación de la mediana, fragmentación de la liquidez, y operaron utilizando el mecanismo de liquidación del mercado conjunto. Este tipo de ataque no requiere técnicas de hacking sofisticadas, solo necesita operaciones de mercado razonables y una profunda comprensión de la lógica del protocolo.

El problema fundamental del control de la marca de precio es:

• Alta relevancia de los datos de oráculos: lo que parece ser una entrada de precio “multifuente” proviene en realidad de unas pocas plataformas de intercambio con una grave superposición de liquidez. Una vez que varios intercambios clave son comprometidos, todo el índice de precios queda en la nada.
• Tolerancia a los valores atípicos del algoritmo de agregación: la mediana es efectiva en grandes muestras, pero casi impotente en muestras pequeñas; cuando la fuente de entrada ya está “comprada”, ningún algoritmo, por muy ingenioso que sea, puede salvar la situación.
• Problema de “blind trust” en el sistema de liquidación: casi todas las plataformas CEX y DeFi asumen por defecto que la marca de precio es justa, utilizándola como disparador de liquidación. Pero en la realidad, esta confianza a menudo se basa en datos contaminados.

Establecer una verdadera “inmunidad a la manipulación” entre algoritmos y juegos

La marca de precio no debería ser un valor “matemáticamente correcto pero débil en términos de juego”, sino un producto de un mecanismo capaz de mantener la estabilidad bajo la presión del mercado real. El ideal de DeFi es construir confianza con código, pero el código no es perfecto; también puede solidificar prejuicios, amplificar defectos preestablecidos, e incluso convertirse en un arma en manos de atacantes.

El evento Jelly-My-Jelly no es casualidad, ni será el último. Es una advertencia: antes de entender a fondo la estructura del juego, cualquier mecanismo de liquidación basado en la “determinación” es una entrada potencial de arbitraje. La madurez del mecanismo requiere no solo una velocidad de emparejamiento más rápida y una mayor eficiencia de capital, sino también una capacidad de auto-reflexión en el diseño del mecanismo, que pueda identificar y cerrar estos riesgos sistémicos que están ocultos tras la “belleza matemática”.

Que siempre mantengamos un corazón de respeto hacia el mercado.

Las matemáticas son simples, las personas son complejas.

Solo la historia del juego se repite.

Saber que es así, y también saber por qué es así.