Jebakan median: Bagaimana JELLY memanipulasi harga mark untuk memicu domino likuidasi Hyperliquid?

Ketika utusan yang setia dijadikan senjata—harga mark, hakim yang adil ini menjadi pemicu ledakan badai likuidasi beruntun Hyperliquid.

Pada bulan Maret 2025, sebuah token yang kurang dikenal dengan volume perdagangan harian kurang dari 2 juta dolar AS - JELLY, memicu badai likuidasi senilai jutaan dolar di Hyperliquid. Yang mengejutkan, pelaku tidak memodifikasi kontrak pintar, juga tidak memanfaatkan kerentanan kode tradisional, melainkan menjadikan mekanisme keamanan paling inti dari platform - harga mark - sebagai senjata.

Ini bukanlah serangan peretasan, melainkan sebuah “serangan kepatuhan” terhadap aturan sistem. Penyerang memanfaatkan logika perhitungan, alur algoritma, dan mekanisme pengendalian risiko yang dipublikasikan oleh platform, menciptakan sebuah “serangan tanpa kode” yang sangat mematikan bagi pasar dan trader. Harga mark yang seharusnya berfungsi sebagai jangkar “netral dan aman” di pasar, dalam peristiwa ini, berubah dari perisai menjadi pedang.

Artikel ini akan menganalisis secara mendalam risiko sistemik dari mekanisme harga mark dalam pasar kontrak berjangka altcoin dari dua perspektif: teori dan praktik, serta melakukan tinjauan mendetail tentang insiden serangan Jelly-My-Jelly. Insiden ini tidak hanya mengungkapkan kerentanan struktural dalam desain oracle, sifat pedang bermata dua dari kolam likuiditas inovatif (HLP Vault), tetapi juga mengekspos ketidaksetaraan internal dalam perlindungan dana pengguna oleh logika likuidasi utama saat kondisi ekstrem.

Bagian Pertama: Paradoks Inti Kontrak Berkelanjutan - Ketidakseimbangan Mekanisme Likuidasi yang Dihasilkan oleh Rasa Aman Palsu

1.1 harga mark: sebuah kecenderungan likuidasi yang dihasilkan dari permainan konsensus yang dianggap aman

Untuk memahami bagaimana harga mark dapat menjadi pintu masuk serangan, pertama-tama kita harus membongkar logika penyusunannya. Meskipun metode perhitungan masing-masing bursa sedikit berbeda, prinsip intinya sangat konsisten - mekanisme median tiga nilai yang dibangun di sekitar “harga indeks”.

• Harga indeks (Index Price) adalah dasar dari harga mark. Ini tidak berasal dari bursa derivatif itu sendiri, melainkan dihitung melalui rata-rata tertimbang dari harga aset tersebut di beberapa platform spot utama (seperti Binance, Coinbase, Kraken, dll), dengan tujuan memberikan harga referensi yang adil lintas platform dan lintas wilayah.

Salah satu cara perhitungan harga mark yang khas adalah sebagai berikut:

Harga Mark = Median (Harga1, Harga2, Harga Terakhir Diperdagangkan)

• Price1 = harga mark × (1 + biaya modal dasar ): Mengaitkan harga kontrak dengan harga indeks dan mempertimbangkan ekspektasi pasar.
• Price2 = harga mark + deviasi rata-rata bergerak: digunakan untuk meratakan anomali harga jangka pendek.
• Last Traded Price = harga mark di platform derivatif.

Pengenalan median bertujuan untuk menghilangkan nilai-nilai yang tidak biasa dan meningkatkan stabilitas harga. Namun, keamanan desain ini sepenuhnya didasarkan pada satu asumsi kunci: jumlah sumber data yang dimasukkan cukup, distribusinya wajar, likuiditasnya tinggi, dan sulit untuk dimanipulasi secara kolaboratif.

Namun, dalam kenyataannya, pasar spot sebagian besar altcoin sangat lemah. Begitu penyerang dapat mengontrol harga beberapa platform dengan likuiditas rendah, mereka dapat “mencemari” harga indeks, sehingga menyuntikkan data jahat secara sah ke dalam harga mark melalui rumus. Serangan semacam ini dapat memicu likuidasi leverage besar-besaran dengan biaya minimum, memicu reaksi berantai.

Dengan kata lain, mekanisme agregasi pada dasarnya dimaksudkan untuk menyebarkan risiko, tetapi di pasar yang memiliki likuiditas rendah, hal ini justru menciptakan “kelemahan terpusat” yang dapat dikendalikan oleh penyerang. Semakin platform derivatif menekankan transparansi dan prediktabilitas aturannya, semakin besar kemungkinan penyerang dapat “memanfaatkan aturan secara terprogram” untuk membangun jalur penghancuran yang sesuai.

1.2 Mesin Likuidasi: Perisai platform, juga merupakan mata pedang

Ketika harga pasar bergerak cepat ke arah yang tidak menguntungkan, margin trader akan tergerus oleh kerugian tidak terealisasi. Begitu sisa margin jatuh di bawah “harga mark” (Maintenance Margin), mesin likuidasi akan diaktifkan.

Dalam proses ini, standar pemicu yang paling penting adalah harga mark (Mark price), bukan harga transaksi terbaru dari platform itu sendiri. Ini berarti, meskipun harga transaksi pasar saat ini belum mencapai garis likuidasi Anda, selama harga mark yang “tidak terlihat” tersebut tercapai, likuidasi akan segera dipicu.

Lebih perlu diwaspadai adalah mekanisme “paksaan likuidasi” (atau disebut juga likuidasi awal).

Di banyak bursa, untuk menghindari risiko likuidasi, sistem manajemen risiko sering menggunakan parameter likuidasi yang agak konservatif. Ketika likuidasi dipicu, meskipun harga likuidasi lebih baik daripada harga di mana kerugian sebenarnya menjadi nol, platform biasanya tidak akan mengembalikan bagian “keuntungan likuidasi” ini, melainkan akan langsung menyuntikkannya ke dalam dana asuransi platform. Ini menyebabkan trader merasakan ilusi “seolah-olah masih memiliki margin, tetapi sudah dilikuidasi lebih awal”, dan akun langsung menjadi nol.

Mekanisme ini terutama umum terjadi pada aset dengan likuiditas rendah. Untuk menghindari risiko sendiri, platform akan menyesuaikan garis likuidasi dengan lebih konservatif, sehingga lebih mudah bagi posisi untuk “dihapus lebih awal” dalam fluktuasi harga. Logikanya masuk akal, tetapi hasilnya menyebabkan posisi kepentingan platform dan trader mengalami dislokasi yang halus pada kondisi pasar yang ekstrem.

Mesin likuidasi seharusnya menjadi alat kontrol risiko yang netral, tetapi dalam hal pengakuan pendapatan, pemilihan parameter, dan logika pemicu, ia menunjukkan kecenderungan untuk memonetisasi platform.

1.3 Kegagalan harga mark menyebabkan distorsi mesin likuidasi

Di platform ini, kecenderungan untuk membenci kerugian, fluktuasi harga indeks dan harga mark yang tajam semakin memperburuk pemindahan uang paksa ini ke depan (atau belakang).

Teori harga mark menyediakan tolok ukur harga yang adil dan tahan manipulasi dengan mengagregasi data dari berbagai sumber dan algoritma median. Namun, teori ini mungkin berlaku saat diterapkan pada aset mainstream yang likuid, tetapi akan menghadapi tantangan serius dalam hal efektivitasnya ketika dihadapkan pada altcoin dengan likuiditas tipis dan tempat perdagangan yang terpusat.

Kegagalan median: dilema statistik dari konsentrasi sumber data

• Validitas dalam kumpulan data besar: Misalkan sebuah indeks harga terdiri dari 10 sumber data independen dan likuiditas tinggi. Jika salah satu sumber data mengalami penawaran ekstrem karena suatu alasan, algoritma median dapat dengan mudah mengidentifikasinya sebagai outlier dan mengabaikannya, mengambil nilai tengah sebagai harga akhir, sehingga menjaga stabilitas indeks.
• Kerentanan pada kumpulan data kecil: Sekarang, kita mempertimbangkan skenario koin alternatif yang khas.
• Tiga sumber data skenario: Jika indeks harga mark dari suatu koin palsu hanya mencakup harga spot dari tiga bursa (A, B, C). Dalam hal ini, median adalah harga yang berada di tengah dari ketiga harga tersebut. Jika pelaku jahat secara bersamaan memanipulasi harga di dua bursa (misalnya A dan B), maka terlepas dari seberapa akurat harga C, median akan ditentukan oleh harga manipulasi A dan B. Dalam hal ini, perlindungan algoritma median hampir tidak ada.
• Skenario dua sumber data: Jika indeks hanya terdiri dari dua sumber data, median secara matematis setara dengan rata-rata dari dua harga. Dalam kasus ini, algoritma sepenuhnya kehilangan kemampuan untuk mengeluarkan nilai-nilai yang tidak normal. Fluktuasi tajam dari salah satu sumber data akan langsung, tanpa penurunan, diteruskan ke harga mark.

Untuk sebagian besar altcoin, kedalaman perdagangan dan jumlah bursa yang terdaftar sangat terbatas, yang membuat indeks harga mereka sangat mudah terjebak dalam “kumpulan data kecil” yang disebutkan di atas. Oleh karena itu, rasa aman yang diberikan oleh “indeks multi-sumber” yang diklaim oleh bursa sering kali hanyalah ilusi di dunia altcoin. Seringkali, harga transaksi terbaru sering kali setara dengan harga mark.

Bagian Kedua: Dilema Peramal: Ketika Likuiditas Spot Menjadi Senjata

Dasar harga mark adalah harga indeks, dan sumber harga indeks adalah oracle. Baik di CEX maupun DEX, oracle berfungsi sebagai jembatan untuk mentransfer informasi antara on-chain dan off-chain. Namun, meskipun jembatan ini penting, ia menjadi sangat rapuh ketika likuiditas kurang.

2.1 Oracle: Jembatan Rentan yang Menghubungkan On-Chain dan Off-Chain

Sistem blockchain pada dasarnya adalah tertutup dan deterministik, kontrak pintar tidak dapat secara aktif mengakses data di luar rantai, seperti harga pasar aset. Harga mark (Oracle) muncul, yang merupakan sistem middleware yang bertanggung jawab untuk mentransfer data di luar rantai dengan aman dan dapat dipercaya ke dalam rantai, memberikan input informasi “dunia nyata” untuk operasi kontrak pintar.

Di platform perdagangan kontrak berjangka atau dalam protokol pinjaman dan utang lainnya sebagai infrastruktur DeFi inti, data harga yang disediakan oleh oracle hampir menjadi landasan logika manajemen risikonya. Namun, satu fakta yang sering diabaikan adalah: sebuah oracle yang “jujur” tidak berarti bahwa ia melaporkan harga yang “wajar”. Tanggung jawab oracle hanya mencatat dengan jujur keadaan dunia eksternal yang dapat diamatinya, ia tidak menilai apakah harga menyimpang dari fundamental. Karakteristik ini mengungkapkan dua jalur serangan yang sangat berbeda:

• Serangan Oracle (Oracle Exploit): Penyerang memanipulasi sumber data atau protokol oracle melalui metode teknis, sehingga melaporkan harga yang salah.
• Manipulasi Pasar (Market Manipulation): Penyerang melakukan operasi nyata di pasar eksternal, dengan sengaja menaikkan atau menurunkan harga, sementara oracle yang berfungsi normal mencatat dan melaporkan harga pasar yang “dimanipulasi” ini. Protokol di blockchain tidak terinvasi, tetapi menghasilkan reaksi yang tidak diharapkan karena “keracunan informasi”.

Yang terakhir, adalah substansi dari kejadian Mango Markets dan Jelly-My-Jelly: bukan oracle yang diserang, tetapi “jendela pengamatan” mereka yang terkontaminasi.

2.2 Titik Serangan: Ketika Kekurangan Likuiditas Menjadi Senjata

Inti dari serangan jenis ini adalah memanfaatkan kelemahan likuiditas aset target di pasar spot. Untuk aset yang diperdagangkan dengan rendah, bahkan pesanan kecil sekalipun dapat menyebabkan fluktuasi harga yang tajam, sehingga memberikan kesempatan bagi para manipulasi.

Serangan terhadap Mango Markets pada bulan Oktober 2022 dianggap sebagai “contoh yang sempurna”. Penyerang Avraham Eisenberg memanfaatkan kekeringan likuiditas yang ekstrem dari token tata kelola MNGO (yang saat itu memiliki volume perdagangan harian kurang dari 100.000 USD), dengan menginvestasikan sekitar 4 juta USD secara terpusat di beberapa bursa untuk membeli, berhasil menaikkan harga MNGO lebih dari 2300% dalam waktu yang sangat singkat. “Harga yang tidak biasa” ini tercatat dengan lengkap oleh oracle dan disalurkan ke protokol on-chain, menyebabkan batas pinjamannya melonjak, akhirnya “secara legal” menguras semua aset platform (sekitar 116 juta USD).

Penjelasan Jalur Serangan: Lima Langkah Menembus Garis Pertahanan Protokol

1. Pemilihan Target (Target Selection): Penyerang pertama-tama menyaring token target, yang biasanya memiliki kondisi berikut: telah meluncurkan kontrak perpetual di beberapa platform derivatif utama; harga oracle berasal dari beberapa bursa spot yang diketahui dan memiliki likuiditas rendah; volume perdagangan harian rendah, buku pesanan jarang, sangat mudah untuk dimanipulasi.
2. Akuisisi Modal (Capital Acquisition): Sebagian besar penyerang mendapatkan dana besar sementara melalui “Pinjaman Kilat (Flash Loans)”. Mekanisme ini memungkinkan untuk meminjam dan mengembalikan aset dalam satu transaksi, tanpa perlu jaminan, secara signifikan mengurangi biaya manipulasi.
3. Serangan Pasar Spot (Spot Market Blitz): Penyerang dalam waktu yang sangat singkat, secara bersamaan mengeluarkan banyak order beli di semua bursa yang dipantau oleh oracle. Order ini dengan cepat menghapus order jual, mendorong harga ke tingkat tinggi - jauh dari nilai sebenarnya.
4. Kontaminasi Oracle (Oracle Contamination): Oracle dengan setia membaca harga dari bursa yang telah dimanipulasi di atas, meskipun menggunakan mekanisme anti-volatilitas seperti median dan rata-rata tertimbang, tetap sulit untuk menghindari manipulasi multi-sumber secara bersamaan. Harga indeks yang dihasilkan akhirnya tercemar berat.
5. Infeksi Harga Mark (Mark Price Infection): Harga indeks yang terkontaminasi memasuki platform derivatif, mempengaruhi perhitungan harga mark. Mesin likuidasi salah menilai rentang risiko, memicu “likuidasi” besar-besaran, trader mengalami kerugian besar, sementara penyerang dapat melakukan arbitrase melalui posisi berlawanan atau operasi pinjaman.

Manual Perang “Penyerang”: Pedang Bermata Dua Transparansi

Baik itu CEX atau DEX, protokol sering kali menganggap “sumber terbuka dan transparan” sebagai kebajikan, dengan mempublikasikan mekanisme oracle mereka, bobot sumber data, frekuensi pembaruan harga, dan rincian lainnya, bertujuan untuk membangun kepercayaan pengguna. Namun, bagi penyerang, informasi ini justru menjadi “panduan” untuk merencanakan serangan.

Sebagai contoh Hyperliquid, arsitektur orakarnya secara terbuka mencantumkan semua sumber data dari bursa dan bobotnya. Penyerang dapat menghitung dengan tepat berapa banyak dana yang harus diinvestasikan di setiap bursa yang memiliki likuiditas terlemah untuk memaksimalkan distorsi indeks berbobot akhir. “Rekayasa algoritma” semacam ini membuat serangan menjadi dapat dikendalikan, dapat diprediksi, dan meminimalkan biaya.

Matematika itu sederhana, tetapi manusia itu kompleks.

Bagian Tiga: Arena Pemburuan —— Analisis Risiko Struktural Hyperliquid

Setelah memahami prinsip serangan, “penyerang” kemudian harus memilih “medan perang” yang cocok untuk diimplementasikan - Hyperliquid. Meskipun manipulasi oracle adalah metode serangan yang umum, kejadian “Jelly-My-Jelly” dapat terjadi di Hyperliquid dan menyebabkan konsekuensi serius, karena alasan mendasar dari arsitektur likuiditas dan mekanisme likuidasi yang khas dari platform tersebut. Desain yang bertujuan untuk meningkatkan pengalaman pengguna dan efisiensi modal ini, meskipun penuh dengan inovasi, juga secara tidak sengaja memberikan penyerang “tempat berburu” yang ideal.

3.1 HLP Gudang: Pembuat Pasar dan Pihak Penjagaan yang Demokratis

Salah satu inovasi inti Hyperliquid adalah HLP Vault-nya—sebuah kolam dana yang dikelola secara terpadu oleh protokol, yang memiliki dua fungsi. (Penjelasan HLP yang lebih rinci:

）

Pertama, HLP berfungsi sebagai pembuat pasar aktif di platform. Ini memungkinkan pengguna komunitas untuk menyetor USDC ke dalam brankas, berpartisipasi dalam strategi pembuatan pasar otomatis platform, dan berbagi keuntungan (atau kerugian) secara proporsional. Mekanisme pembuatan pasar yang “demokratis” ini memungkinkan HLP untuk terus menyediakan buku pesanan untuk banyak koin alternatif yang kekurangan likuiditas. Oleh karena itu, bahkan token dengan kapitalisasi pasar kecil dan likuiditas sangat rendah seperti JELLY dapat mendukung posisi leverage di tingkat jutaan dolar di Hyperliquid—ini adalah sesuatu yang sulit dicapai di bursa tradisional. (Dalam istilah sederhana, ini berarti dapat membuka posisi.)

Namun, desain ini tidak hanya menarik perhatian spekulan, tetapi juga menarik keberadaan yang lebih berbahaya: penyerang yang sengaja memanipulasi pasar.

Yang lebih penting lagi, HLP juga berfungsi sebagai “penyangga likuidasi dan stop-loss” platform, yaitu pihak lawan terakhir untuk likuidasi. Ketika posisi leverage dipaksa untuk dilikuidasi dan tidak ada likuidator yang cukup di pasar yang bersedia untuk mengambil alih, protokol secara otomatis akan mengalihkan posisi berisiko tinggi ini ke kas HLP, dan akan diterima sesuai dengan harga dari oracle.

Konsekuensi dari mekanisme ini adalah: HLP menjadi entitas yang dapat dimanfaatkan secara deterministik, tanpa kemampuan penilaian mandiri. Penyerang saat menerapkan strategi, sepenuhnya dapat memprediksi siapa yang akan mengambil alih “posisi beracun” mereka setelah pemicu likuidasi — bukan lawan perdagangan yang acak dan tidak dapat diprediksi di pasar, tetapi sebuah sistem otomatis yang menjalankan logika kontrak pintar, yang bertindak 100% sesuai aturan: HLP vault.

3.2 Defisiensi Struktural dari Mekanisme Likuidasi

Peristiwa Jelly-My-Jelly mengungkapkan celah fatal di Hyperliquid di bawah kondisi pasar ekstrem, yang berasal dari struktur dana internal dan model likuidasi di brankas HLP.

Saat serangan terjadi, tidak ada mekanisme isolasi yang ketat antara “kolam cadangan likuidasi” yang bertanggung jawab untuk menangani posisi yang dilikuidasi dan kolam dana lainnya yang melakukan strategi seperti pembuatan pasar. Mereka berbagi jaminan yang sama. Ketika posisi short senilai 4 juta dolar likuidasi karena harga mark yang melonjak, posisi tersebut sepenuhnya dipindahkan ke kolam cadangan likuidasi. Seiring dengan terus naiknya harga JELLY, kerugian dari posisi ini juga terus membesar.

Penyerang hanya perlu memicu likuidasi (mengurangi margin secara aktif) untuk “mengalihkan” posisi rugi mereka secara “mulus” kepada pembeli di dalam sistem - yaitu, HLP Treasury. Penyerang sangat menyadari: aturan protokol akan memaksa HLP untuk melakukan pembelian pada saat harga paling tidak menguntungkan, menjadi “pembeli tanpa syarat”.

Seharusnya, ketika posisi mengalami kerugian besar yang mengancam stabilitas sistem platform, mekanisme pengurangan otomatis ADL harus secara otomatis diaktifkan, memaksa pengguna yang berlawanan arah dengan keuntungan untuk mengurangi posisi mereka, guna membagi risiko. Namun kali ini, ADL tidak diaktifkan.

Alasannya adalah: meskipun kolam cadangan likuidasi sendiri telah mengalami kerugian mendalam, namun karena ia dapat memanfaatkan aset jaminan dari kolam strategi lain dalam seluruh gudang HLP, sistem menilai “kesehatan keseluruhan” dari seluruh gudang HLP tetap baik, sehingga tidak memicu mekanisme pengendalian risiko. Desain mekanisme jaminan bersama ini secara tidak sengaja melewati garis pertahanan risiko sistemik ADL, yang mengakibatkan kerugian yang seharusnya ditanggung oleh pasar secara keseluruhan, akhirnya terkonsentrasi meledak di dalam gudang HLP.

Bagian Keempat: Analisis Kasus —— Tinjauan Lengkap Serangan Jelly-My-Jelly

Pada 26 Maret 2025, sebuah serangan yang direncanakan dengan cermat terjadi di Hyperliquid, menargetkan Jelly-My-Jelly (JELLY). Serangan ini dengan cerdik menggabungkan manipulasi likuiditas, pemahaman mendalam tentang mekanisme oracle, serta pemanfaatan kelemahan arsitektur platform, menjadikannya contoh klasik dalam mendekonstruksi pola serangan DeFi modern.

4.1 Tahap Satu: Penempatan —— Perangkap Short senilai 400 juta dolar

Serangan ini bukanlah tindakan impulsif. Data di blockchain menunjukkan bahwa penyerang telah menguji strategi melalui serangkaian transaksi kecil selama sepuluh hari sebelum kejadian, jelas sedang mempersiapkan untuk tindakan akhir.

Pada 26 Maret, ketika harga spot JELLY berfluktuasi di sekitar 0,0095 dolar, penyerang mulai melaksanakan tahap pertama. Beberapa alamat dompet terlibat, di mana alamat 0xde96 adalah pelaksana kunci. Penyerang secara senyap-senyap membangun posisi jual bernilai sekitar 4 juta dolar di pasar kontrak abadi JELLY melalui perdagangan diri (yaitu bertindak sebagai pembeli dan penjual secara bersamaan), dan didukung dengan total 3 juta dolar posisi beli. Tujuan dari perdagangan ini adalah untuk memaksimalkan OI kontrak yang belum diselesaikan, sambil menghindari memicu fluktuasi pasar yang tidak normal, sehingga meletakkan dasar untuk manipulasi harga dan induksi likuidasi yang akan datang.

4.2 Tahap Dua: Serangan - Perang Kilat di Pasar Spot

Setelah pengaturan selesai, serangan memasuki tahap kedua: dengan cepat meningkatkan harga spot. JELLY adalah target yang diimpikan oleh para pengendali. Total kapitalisasinya hanya sekitar 15 juta dolar, dan buku pesanan di bursa utama sangat lemah. Menurut data dari Kaiko Research, kedalaman pasar 1% nya hanya 72 ribu dolar, jauh di bawah token sejenis lainnya.

Penyerang memanfaatkan hal ini dengan meluncurkan serangan pembelian secara bersamaan di beberapa bursa terpusat dan terdesentralisasi. Karena kurangnya dukungan penjualan, harga pasar JELLY dengan cepat meningkat dalam waktu singkat. Dimulai dari 0,008 dolar, dalam waktu kurang dari satu jam harga melonjak lebih dari 500%, mencapai puncaknya di 0,0517 dolar. Sementara itu, volume perdagangan juga mengalami pertumbuhan yang eksplosif. Hanya di bursa Bybit, total transaksi JELLY pada hari itu saja melampaui 150 juta dolar, menciptakan rekor tertinggi dalam sejarah.

4.3 Tahap Tiga: Ledakan —— Pencemaran Orakel dan Air Terjun Likuidasi

Kenaikan harga spot yang tajam dengan cepat disalurkan ke sistem harga mark Hyperliquid. Mekanisme oracle Hyperliquid menggunakan algoritma median tertimbang multi-sumber, mengintegrasikan data spot dari berbagai bursa seperti Binance, OKX, Bybit, dan lainnya. Karena penyerang bertindak secara bersamaan di sumber kunci ini, harga indeks yang akhirnya terakumulasi terkontaminasi secara efektif, mendorong harga mark internal platform untuk naik secara bersamaan.

Lonjakan harga mark langsung memicu posisi short yang sebelumnya dikerahkan oleh penyerang. Seiring dengan meluasnya kerugian, posisi senilai 4 juta dolar ini memicu likuidasi paksa. Saat ini bukanlah kegagalan serangan, melainkan inti dari desain serangan.

Karena HLP Treasury bertindak sebagai pihak lawan penyelesaian platform, yang mengambil alih tanpa syarat berdasarkan logika kontrak pintar, dan sistem penyelesaian gagal memicu mekanisme ADL (pengurangan otomatis) untuk membagi risiko, seluruh posisi berisiko tinggi langsung dibebankan kepada HLP. Dengan kata lain, penyerang berhasil “mengalihkan” kerugian likuidasi mereka ke masyarakat, membuat penyedia likuiditas HLP membayar untuk tindakan mereka.

4.4 Tahap Empat: Gelombang Sisa —— Penarikan Darurat dan Refleksi Pasar

Sementara Hyperliquid terjebak dalam kekacauan, pasar eksternal juga menunjukkan reaksi yang kompleks. Dalam satu jam setelah JELLY dimanipulasi ke posisi tinggi, Binance dan OKX hampir secara bersamaan meluncurkan kontrak perpetual JELLY. Pasar secara umum menafsirkan tindakan ini sebagai “memanfaatkan situasi” terhadap pesaing Hyperliquid, yang semakin memperburuk volatilitas pasar JELLY dan secara tidak langsung memperbesar potensi kerugian dari HLP treasury.

Menghadapi tekanan besar dari pasar dan komunitas, node validator Hyperliquid melakukan pemungutan suara darurat, melalui beberapa langkah tanggap: segera dan permanen menghapus kontrak perpetual JELLY; dibiayai oleh yayasan, memberikan kompensasi penuh kepada semua pengguna yang terpengaruh dari alamat non-serangan.

Menurut data Lookonchain, pada saat serangan paling intens, kerugian yang belum direalisasikan dari brankas HLP sempat mencapai 12 juta dolar AS. Meskipun Hyperliquid secara resmi melaporkan bahwa total kerugian dalam 24 jam dapat dikendalikan di angka 700 ribu dolar AS, dampak dari seluruh kejadian ini terhadap struktur platform dan sistem pengendalian risiko jelas sangat mendalam.

Proses kejadian JELLY

Kata Penutup —— “Ilusi Mark” dan Proposisi Pertahanan Kontrak Berkelanjutan

Penyerang dalam peristiwa Jelly-My-Jelly tidak bergantung pada kerentanan kontrak yang rumit atau metode kriptografi, mereka hanya mengidentifikasi dan memanfaatkan cacat struktural matematis dari mekanisme pembentukan harga mark - sumber data kecil, agregasi median, fragmentasi likuiditas, dan mengoperasikan mekanisme likuidasi pasar. Serangan semacam ini tidak memerlukan teknik peretasan yang canggih, hanya membutuhkan operasi pasar yang wajar dan pemahaman mendalam tentang logika protokol.

Masalah mendasar dari manipulasi harga mark adalah:

• Tingkat relevansi data oracle: Input harga yang tampak “multi-sumber” sebenarnya berasal dari beberapa bursa yang memiliki likuiditas yang sangat tumpang tindih. Begitu beberapa bursa kunci diserang, seluruh indeks harga menjadi tidak berfungsi.
• Toleransi algoritma agregasi terhadap nilai ekstrim: median efektif dalam sampel besar, tetapi hampir tidak berdaya dalam sampel kecil; ketika sumber input sudah “dibeli habis”, seberapa canggih pun algoritma tidak dapat menyelamatkan situasi.
• Masalah “blind trust” dalam sistem likuidasi: Hampir semua platform CEX dan DeFi secara default menganggap harga mark adalah adil, sehingga menjadikannya sebagai pemicu likuidasi. Namun, dalam kenyataannya, kepercayaan ini sering kali dibangun di atas dasar data yang terkontaminasi.

Membangun “anti-manipulasi” yang sebenarnya antara algoritma dan permainan

Harga mark seharusnya bukanlah nilai yang “benar secara matematis tetapi lemah dalam permainan”, melainkan produk dari suatu mekanisme yang dapat mempertahankan stabilitas di bawah tekanan pasar nyata. Ideal DeFi adalah membangun kepercayaan dengan kode, tetapi kode tidak sempurna, ia juga bisa mengukuhkan bias, memperbesar cacat yang sudah ada, bahkan menjadi senjata di tangan penyerang.

Peristiwa Jelly-My-Jelly bukanlah kebetulan, dan tidak akan menjadi yang terakhir. Ini adalah sebuah peringatan: tanpa pemahaman mendalam tentang struktur permainan, mekanisme penyelesaian yang berdasarkan “kepastian” adalah pintu masuk arbitrase yang berpotensi. Untuk mekanisme menjadi lebih matang, tidak hanya kecepatan pencocokan yang lebih cepat dan efisiensi modal yang lebih tinggi yang dibutuhkan, tetapi juga kemampuan refleksi pada tingkat desain mekanisme, yang dapat mengenali dan menutup risiko sistemik yang tertutup oleh “keindahan matematis”.

Semoga kita selalu memiliki hati yang menghormati pasar.

Matematika itu sederhana, tetapi manusia itu kompleks.

Hanya sejarah permainan yang diulang.

Tahu akan hal itu, dan juga tahu alasannya.