A armadilha da mediana: como a JELLY manipula o preço de marca para desencadear o efeito dominó das liquidações na Hyperliquid?

Quando o mensageiro leal foi armado - preço de marca, este juiz justo tornou-se o estopim da tempestade de liquidações em cadeia da Hyperliquid.

Em março de 2025, um token desconhecido com um volume de negociação diário inferior a 2 milhões de dólares - JELLY, desencadeou uma tempestade de liquidação de milhões de dólares na Hyperliquid. O mais surpreendente é que o atacante não alterou o contrato inteligente nem explorou vulnerabilidades de código tradicionais, mas transformou o mecanismo de segurança mais central da plataforma - preço de marca - em uma arma.

Isto não foi um ataque de hackers, mas sim um “ataque de conformidade” às regras do sistema. Os atacantes aproveitaram a lógica de cálculo, os processos algorítmicos e os mecanismos de controle de risco públicos da plataforma para criar um “ataque sem código” que é extremamente devastador para o mercado e para os traders. O preço de marca, que deveria ser o âncora “neutra e segura” do mercado, transformou-se, neste evento, de um escudo em uma lâmina.

Este artigo irá analisar em profundidade, a partir de duas perspectivas, teórica e prática, os riscos sistêmicos do mecanismo de preço de marca no mercado de contratos perpétuos de altcoins, e fará uma revisão detalhada do incidente de ataque Jelly-My-Jelly. Este evento não apenas revelou a vulnerabilidade estrutural do design dos oráculos e a natureza de espada de dois gumes das pools de liquidez inovadoras (HLP Vault), mas também expôs a assimetria inerente à proteção dos fundos dos usuários na lógica de liquidação predominante em condições extremas.

Parte 1: A contradição central dos contratos perpétuos - O viés do mecanismo de liquidação trazido pela falsa sensação de segurança

1.1 preço de marca：uma tendência de liquidação causada por um jogo de consenso erroneamente considerado seguro

Para entender como o preço de marca se torna um ponto de ataque, é necessário primeiro desmembrar a lógica de sua composição. Embora os métodos de cálculo variem ligeiramente entre as exchanges, o princípio central é altamente consistente - um mecanismo de mediana de três valores construído em torno do “preço índice”.

• O preço índice (Index Price) é a pedra angular do preço de marca. Ele não vem da própria exchange de derivativos, mas é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot populares (como Binance, Coinbase, Kraken, etc.), com o objetivo de fornecer um preço de referência justo que seja cross-platform e cross-regional.

Um método típico de cálculo do preço de marca é o seguinte:

Preço de marca = Mediana (Preço1, Preço2, Último preço negociado)

• Preço1 = preço de marca × (1 + taxa de financiamento base ): ancorar o preço do contrato ao preço de marca e considerar as expectativas do mercado.
• Price2 = preço de marca + média móvel de base: utilizado para suavizar anomalias de preços de curto prazo.
• Last Traded Price = preço de marca na plataforma de derivativos.

A introdução da mediana teve como objetivo eliminar valores anômalos e melhorar a estabilidade dos preços. No entanto, a segurança deste design baseia-se completamente em uma suposição chave: a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada em conjunto.

No entanto, na realidade, a grande maioria dos mercados spot de altcoins é extremamente fraca. Assim que um atacante consegue controlar os preços de algumas plataformas de baixa liquidez, pode “contaminar” o preço do índice, injetando legalmente dados maliciosos no preço de marca através de uma fórmula. Este tipo de ataque pode desencadear liquidações em grande escala com um custo mínimo, provocando uma reação em cadeia.

Em outras palavras, o mecanismo de agregação tem a intenção de dispersar riscos, mas em mercados com liquidez escassa, acaba formando uma “vulnerabilidade centralizada” que pode ser controlada pelos atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e previsibilidade de suas regras, mais os atacantes podem “explorar programaticamente as regras” para construir um caminho de destruição conforme as normas.

1.2 Motor de liquidação: o escudo da plataforma, mas também a lâmina

Quando o preço de mercado se move rapidamente em uma direção desfavorável, a margem dos traders será corroída por perdas flutuantes. Uma vez que a margem restante caia abaixo da “taxa de margem de manutenção” (Maintenance Margin), o motor de liquidação será ativado.

Nos processos, o critério central de ativação é o preço de marca (Mark price), e não o preço de execução mais recente da própria plataforma. Isso significa que, mesmo que o preço de execução atual do mercado ainda não tenha atingido sua linha de liquidação, assim que aquele preço de marca “invisível” for alcançado, a liquidação será imediatamente acionada.

Mais preocupante é o mecanismo de “liquidação forçada” (ou seja, liquidação antecipada).

Em muitas exchanges, para evitar o risco de liquidação forçada, os sistemas de controle de risco costumam adotar parâmetros de liquidação um tanto conservadores. Quando a liquidação forçada é acionada, mesmo que o preço de liquidação seja melhor do que o preço real de perda total, a plataforma geralmente não reembolsa essa parte do “excesso de liquidação forçada”, mas sim injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a ter a ilusão de que “ainda há margem, mas foram liquidadas antecipadamente”, fazendo com que a conta fique zerada.

Este mecanismo é particularmente comum em ativos com baixa liquidez. Para proteger-se contra riscos, a plataforma ajusta a linha de liquidação de forma mais conservadora, o que facilita que as posições sejam “liquidadas antecipadamente” durante as flutuações de preço. A lógica é razoável, mas o resultado leva a uma sutil desarticulação dos interesses da plataforma e dos traders em condições extremas.

O motor de liquidação deveria ser uma ferramenta neutra de controle de risco, mas possui uma tendência à lucratividade da plataforma em relação à atribuição de receitas, escolha de parâmetros e lógica de disparo.

1.3 A invalidade do preço de marca leva à distorção do motor de liquidação

Com a tendência de aversão à perda nesta plataforma, a volatilidade acentuada dos preços dos índices e dos preços de marca agrava ainda mais o deslocamento anterior (posterior) do dinheiro de liquidação forçada.

A teoria do preço de marca fornece uma referência de preço justa e resistente à manipulação, agregando dados de múltiplas fontes e utilizando um algoritmo de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos mainstream com alta liquidez, mas a sua eficácia enfrentará desafios severos quando confrontada com altcoins de liquidez escassa e mercados concentrados.

O fracasso da mediana: o dilema estatístico da centralização dos conjuntos de dados

• A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo da mediana pode facilmente identificá-la como um valor atípico e ignorá-la, tomando o valor central como o preço final, mantendo assim a estabilidade do índice.
• Vulnerabilidades em pequenos conjuntos de dados: agora, consideramos um cenário típico de altcoin.
• Cenário de três fontes de dados: se o índice de preço de marca de uma moeda alternativa incluir apenas os preços à vista de três bolsas (A, B, C). Neste caso, a mediana é o valor que ocupa a posição do meio entre os três preços. Se um agente malicioso manipular simultaneamente os preços de duas dessas bolsas (por exemplo, A e B), então, independentemente de quão realista seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Neste caso, a função de proteção do algoritmo da mediana é praticamente zero.
• Cenário de duas fontes de dados: se o índice contiver apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores anômalos. Qualquer flutuação acentuada de uma fonte de dados será transmitida diretamente e sem atenuação para o preço de marca.

Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas listadas são bastante limitados, o que torna o índice de preços muito suscetível a cair na armadilha do “pequeno conjunto de dados” mencionado acima. Assim, a sensação de segurança proporcionada pelo “índice de múltiplas fontes” reivindicado pelas bolsas é frequentemente apenas uma ilusão no mundo das altcoins. Muitas vezes, o último preço de negociação é igual ao preço de marca.

Segunda parte: O dilema do oráculo: quando a liquidez do mercado à vista se esgota e se torna uma arma

O preço de marca é baseado no preço do índice, cujo origem é o oráculo. Seja em CEX ou DEXi, o oráculo desempenha o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, essa ponte, embora crucial, é extremamente frágil em momentos de escassez de liquidez.

2.1 Oráculo: a ponte frágil que conecta on-chain e off-chain

O sistema de blockchain é essencialmente fechado e determinístico, e os contratos inteligentes não podem acessar proativamente dados fora da cadeia, como o preço de mercado dos ativos. Os oráculos surgiram, que são sistemas de middleware responsáveis por transmitir dados fora da cadeia de forma segura e confiável para a cadeia, fornecendo entradas de informação do “mundo real” para a operação dos contratos inteligentes.

Na plataforma de negociação de contratos perpétuos ou em protocolos de empréstimo, os dados de preços fornecidos pelos oráculos constituem praticamente a pedra angular da lógica de gestão de riscos. No entanto, um fato que muitas vezes é ignorado é que um oráculo “honesto” não significa que ele está a reportar um preço “razoável”. A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que consegue observar, não julga se o preço está desviado dos fundamentos. Esta característica revela dois tipos de caminhos de ataque completamente distintos:

• Exploração de Oráculo (Oracle Exploit): O atacante altera, por meio de técnicas, a fonte de dados ou o protocolo do oráculo, fazendo com que reporte preços incorretos.
• Manipulação de Mercado (Market Manipulation): Os atacantes operam em mercados externos, puxando deliberadamente os preços para cima ou para baixo, enquanto os oráculos funcionais registram e reportam o preço de mercado “manipulado”. O protocolo em cadeia não foi invadido, mas reage de forma não esperada devido à “contaminação de informação”.

O último é precisamente a essência dos eventos da Mango Markets e Jelly-My-Jelly: não foi o oráculo que foi comprometido, mas sim a sua “janela de observação” que foi poluída.

2.2 Ponto de Ataque: Quando a Falta de Liquidez se Torna uma Arma

O núcleo deste tipo de ataque reside em explorar a desvantagem de liquidez dos ativos-alvo no mercado à vista. Para ativos com negociação escassa, mesmo pequenas ordens podem causar flutuações de preço acentuadas, proporcionando assim uma oportunidade para manipuladores.

O ataque ao Mango Markets em outubro de 2022 é considerado um “exemplo”. O atacante Avraham Eisenberg explorou a extrema escassez de liquidez de seu token de governança MNGO (com um volume diário de transações inferior a 100.000 dólares na época), investindo cerca de 4 milhões de dólares concentradamente em várias exchanges, conseguindo aumentar o preço do MNGO em mais de 2300% em um curto espaço de tempo. Este “preço anômalo” foi registrado integralmente pelo oráculo e enviado para o protocolo em cadeia, fazendo com que seu limite de empréstimo disparasse, resultando na “dilapidação legal” de todos os ativos da plataforma (cerca de 116 milhões de dólares).

Análise do caminho de ataque: cinco passos para quebrar a linha de defesa do protocolo

1. Seleção de Alvos (Target Selection): O atacante primeiro filtra os tokens-alvo, que geralmente possuem as seguintes condições: um contrato perpétuo foi lançado em uma plataforma de derivativos de renome; o preço do oráculo vem de várias exchanges de spot conhecidas e com baixa liquidez; volume diário de negociação baixo, livro de ordens esparso, facilmente manipulável.
2. Aquisição de Capital (Capital Acquisition): A maioria dos atacantes obtém grandes quantias de dinheiro temporário através de “Empréstimos Rápidos (Flash Loans)”. Este mecanismo permite pegar emprestado e devolver ativos em uma única transação, sem a necessidade de qualquer colateral, reduzindo drasticamente os custos de manipulação.
3. Blitz do Mercado à Vista (Spot Market Blitz): Um atacante em um período muito curto, em todas as bolsas monitoradas pelo oráculo, emite uma grande quantidade de ordens de compra de forma sincronizada. Essas ordens rapidamente eliminam as ordens de venda, empurrando o preço para cima - muito distante de seu valor real.
4. Contaminação do Oráculo (Oracle Contamination): O oráculo lê fielmente os preços das exchanges manipuladas acima, e mesmo utilizando mecanismos de resistência à volatilidade como a mediana ou média ponderada, é difícil resistir à manipulação simultânea de múltiplas fontes. O preço índice final é gravemente contaminado.
5. Infecção de preço de marca (Mark Price Infection): O preço índice contaminado entra na plataforma de derivados, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, acionando uma “liquidação” em grande escala, resultando em perdas significativas para os traders, enquanto os atacantes podem realizar arbitragem através de posições inversas ou operações de empréstimo.

Manual de Combate do Atacante: A Espada de Dois Gumes da Transparência

Seja em CEX ou DEX, os protocolos costumam considerar a “transparência de código aberto” como uma virtude, divulgando detalhes como o mecanismo do oráculo, o peso da origem dos dados, a frequência de atualização de preços, entre outros, com o objetivo de estabelecer a confiança dos usuários. No entanto, para os atacantes, essas informações tornam-se um “manual” para elaborar planos de ataque.

Tomando como exemplo o Hyperliquid, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das exchanges e os seus pesos. Os atacantes podem calcular com precisão quanto capital investir em cada exchange com menor liquidez, a fim de distorcer ao máximo o índice ponderado final. Esta “engenharia algorítmica” torna o ataque controlável, previsível e minimiza os custos.

A matemática é muito simples, mas as pessoas são muito complexas.

Terceira parte: Campo de caça — Análise dos riscos estruturais do Hyperliquid

Após compreender os princípios do ataque, o “atacante” deve escolher o “campo de batalha” adequado para implementar sua ação - Hyperliquid. Embora a manipulação de oráculos seja uma técnica de ataque comum, a razão pela qual o evento “Jelly-My-Jelly” pôde ocorrer na Hyperliquid e causar consequências severas reside na arquitetura de liquidez e no mecanismo de liquidação exclusivos da plataforma. Esses designs, que visam melhorar a experiência do usuário e a eficiência do capital, embora cheios de inovação, também acidentalmente forneceram aos atacantes um “campo de caça” ideal.

3.1 HLP Cofragem: Formadores de mercado e contrapartes de liquidação democratizados

Uma das principais inovações da Hyperliquid é o seu HLP金库 — um pool de fundos gerido de forma unificada pelo protocolo, que desempenha duas funções. (Introdução detalhada ao HLP:

）

Primeiro, o HLP atua como um formador de mercado ativo da plataforma. Ele permite que os usuários da comunidade depositem USDC no tesouro, participem das estratégias de formação de mercado automatizadas da plataforma e compartilhem os lucros (ou perdas) proporcionalmente. Este mecanismo de formação de mercado “democratizado” permite que o HLP forneça continuamente ordens de compra e venda para uma série de altcoins com falta de liquidez. Por isso, até mesmo tokens de menor capitalização e liquidez extremamente baixa, como o JELLY, conseguem sustentar posições alavancadas na ordem de milhões de dólares na Hyperliquid - algo difícil de se conseguir em bolsas tradicionais. (Em termos simples, isso significa que é possível abrir posições)

No entanto, este design não só atraiu especuladores, mas também atraiu uma presença mais perigosa: atacantes que manipulam deliberadamente o mercado.

Mais importante ainda, o HLP também atua como o “mecanismo de salvaguarda para liquidações” da plataforma, ou seja, a contraparte final para liquidações. Quando as posições alavancadas são liquidadas forçosamente e não há liquidador suficiente no mercado disposto a assumir, o protocolo automaticamente transfere essas posições de alto risco para o tesouro do HLP, e isso é feito ao preço do oráculo.

As consequências trazidas por esse mecanismo são: HLP tornou-se uma entidade de absorção que pode ser utilizada de forma determinística e que não possui capacidade de julgamento autônomo. O atacante, ao implementar a estratégia, pode prever completamente que sua “posição tóxica”, uma vez ativada a liquidação, será absorvida por quem — não é um contraparte aleatória e imprevisível no mercado, mas sim um sistema automatizado que executa a lógica de contratos inteligentes e age 100% de acordo com as regras: HLP vault.

3.2 Defeitos Estruturais no Mecanismo de Liquidação

O evento Jelly-My-Jelly expôs uma falha fatal na Hyperliquid sob condições de mercado extremas, cuja origem está na estrutura de financiamento e no modelo de liquidação dentro do tesouro HLP.

Durante o ataque, não havia um mecanismo de isolamento rigoroso entre o “pool de reserva de liquidação” que lida especificamente com as posições liquidadas e outros pools de fundos que executam estratégias de market making, entre outras. Eles compartilham a mesma garantia. Quando a posição vendida de 4 milhões de dólares do atacante foi liquidada devido ao aumento do preço de marca, essa posição foi completamente transferida para o pool de reserva de liquidação. À medida que o preço do JELLY continuava a subir, as perdas dessa posição também continuavam a se expandir.

Os atacantes só precisam ativar a liquidação (reduzir ativamente a margem) para transferir sua posição de perda “sem costura” para os compradores dentro do sistema - o Tesouro HLP. Os atacantes sabem bem: as regras do protocolo forçarão o HLP a assumir a compra no momento mais desfavorável, tornando-se seu “comprador incondicional”.

Deveria ser automático que, quando a posição sofre uma perda enorme que ameaça a estabilidade do sistema da plataforma, o mecanismo de Redução Automática de Posição (ADL) seja acionado automaticamente, forçando a redução de posições dos usuários em direções opostas ao lucro, a fim de compartilhar o risco. Mas desta vez, o ADL não foi ativado.

A razão é que: embora o fundo de reserva de liquidação tenha entrado em profundas perdas, ele pode chamar os ativos colaterais de outros fundos de estratégia dentro do cofre HLP, e o sistema determina que a “saúde global” do cofre HLP ainda é boa, portanto, não acionou os mecanismos de controle de risco. Este design de mecanismo de colateral compartilhado contornou inesperadamente a linha de defesa de risco sistêmico do ADL, fazendo com que as perdas que deveriam ser suportadas pelo mercado como um todo acabassem se concentrando e explodindo dentro do cofre HLP.

Parte Quatro: Análise de Caso — Revisão Completa do Ataque Jelly-My-Jelly

No dia 26 de março de 2025, um ataque meticulosamente planejado ocorreu na Hyperliquid, com o alvo apontado para o Jelly-My-Jelly (JELLY). Este ataque combinou habilmente a manipulação da liquidez, uma compreensão aprofundada do mecanismo do oráculo, e a exploração de vulnerabilidades estruturais da plataforma, tornando-se um caso clássico na desconstrução dos padrões de ataque modernos em DeFi.

4.1 Fase Um: Disposição —— Armadilha de Vendas de 4 milhões de dólares

Este ataque não foi um impulso momentâneo. Os dados on-chain mostram que o atacante testou a estratégia através de uma série de transações de pequena escala durante um período de dez dias antes do incidente, claramente se preparando para a ação final.

No dia 26 de março, enquanto o preço à vista do JELLY oscilava em torno de 0,0095 dólares, os atacantes começaram a implementar a primeira fase. Vários endereços de carteira participaram, sendo o endereço 0xde96 o executor chave. Os atacantes construíram silenciosamente uma posição vendida no mercado de contratos perpétuos do JELLY, no valor de cerca de 4 milhões de dólares, através de auto-negociações (ou seja, atuando simultaneamente como comprador e vendedor), e complementaram com um total de 3 milhões de dólares em posições compradas de contrapartida. O objetivo dessas negociações de contrapartida era maximizar o OI dos contratos em aberto, ao mesmo tempo em que evitava provocar oscilações anormais no mercado, estabelecendo assim as bases para a manipulação de preços subsequente e a indução de liquidações.

4.2 Fase Dois: Ataque - A Batalha Relâmpago no Mercado Spot

Após a conclusão do layout, o ataque entra na segunda fase: elevar rapidamente o preço à vista. JELLY é o alvo dos manipuladores. Seu valor de mercado total é de apenas cerca de 15 milhões de dólares, e o livro de ordens nas principais bolsas é extremamente fraco. De acordo com os dados da Kaiko Research, sua profundidade de mercado de 1% é de apenas 72 mil dólares, muito abaixo de outros tokens semelhantes.

Os atacantes estão a aproveitar-se disto para lançar um ataque de compra sincronizado em várias bolsas centralizadas e descentralizadas. Devido à falta de suporte de venda, o preço à vista do JELLY foi rapidamente elevado em um curto espaço de tempo. Começando em 0,008 dólares, em menos de uma hora, o preço disparou mais de 500%, atingindo o pico de 0,0517 dólares. Ao mesmo tempo, o volume de transações também cresceu de forma explosiva. Apenas na bolsa Bybit, o volume de transações do JELLY no dia ultrapassou 150 milhões de dólares, estabelecendo um novo recorde histórico.

4.3 Fase Três: Explosão – Poluição de Oracle e Cascata de Liquidação

O aumento acentuado do preço à vista foi rapidamente transmitido ao sistema de preço de marca da Hyperliquid. O mecanismo de oráculo da Hyperliquid utiliza um algoritmo de mediana ponderada de múltiplas fontes, integrando dados à vista de várias exchanges, como Binance, OKX, Bybit, entre outras. Devido à ação sincronizada dos atacantes nessas fontes-chave, o preço índice agregado foi efetivamente contaminado, levando a um aumento sincronizado do preço de marca dentro da plataforma.

O salto repentino no preço de marca detonou diretamente as posições de venda a descoberto previamente implantadas pelos atacantes. À medida que as perdas se ampliavam, a posição no valor de 4 milhões de dólares acionou a liquidação forçada. Neste momento, não foi uma falha do ataque, mas sim uma parte central do design do ataque.

Devido ao HLP ser o contraparte de liquidação da plataforma, que aceita incondicionalmente segundo a lógica do contrato inteligente, e o sistema de liquidação não ter conseguido ativar o mecanismo ADL (Auto-Deleveraging) para distribuir o risco, toda a posição de alto risco foi diretamente pressionada para o HLP. Em outras palavras, o atacante conseguiu “transferir socialmente” suas perdas de liquidação, fazendo com que os provedores de liquidez do HLP arcassem com as suas ações manipulativas.

4.4 Fase Quatro: Onda Residual — Retirada de Emergência e Reflexão de Mercado

Enquanto a Hyperliquid mergulha na confusão, o mercado externo também apresenta reações complexas. Dentro da hora em que o JELLY foi manipulado para um nível elevado, a Binance e a OKX lançaram quase em sincronia os contratos perpétuos do JELLY. O mercado em geral interpreta esse comportamento como uma “oportunidade de roubar” contra o concorrente Hyperliquid, o que agrava ainda mais a volatilidade do mercado do JELLY e, indiretamente, amplia as potenciais perdas do tesouro HLP.

Diante da enorme pressão do mercado e da comunidade, o nó validador Hyperliquid votou urgentemente, aprovando várias medidas de resposta: deslistagem imediata e permanente do contrato perpétuo JELLY; com financiamento da fundação, compensação total para todos os usuários afetados que não estão envolvidos em ataques.

De acordo com os dados da Lookonchain, durante o pico do ataque, as perdas não realizadas do tesouro HLP chegaram a 12 milhões de dólares. Embora a Hyperliquid tenha relatado que a perda total em 24 horas foi controlada em 700 mil dólares, o impacto de todo o evento na estrutura da plataforma e no sistema de controle de risco é, sem dúvida, profundo.

Processo do evento JELLY

Conclusão —— O “ilusão de marca” e a proposição de defesa dos contratos perpétuos

Os atacantes no evento Jelly-My-Jelly não dependiam de complexas vulnerabilidades de contrato ou de meios criptográficos; eles apenas perceberam e exploraram a falha estrutural matemática do mecanismo de geração de preço de marca — pequenas fontes de dados, agregação de mediana, fragmentação de liquidez, e operaram utilizando o mecanismo de liquidação do mercado agregado. Este tipo de ataque não requer técnicas de hacking sofisticadas, apenas operações de mercado razoáveis e uma profunda compreensão da lógica do protocolo.

O problema fundamental da manipulação do preço de marca é:

• Alta relevância dos dados do oráculo: os inputs de preço que parecem ser “multifonte” na verdade vêm de algumas exchanges com liquidez severamente sobreposta; uma vez que algumas exchanges-chave sejam comprometidas, todo o índice de preços torna-se irrelevante.
• Tolerância de algoritmos de agregação a valores anómalos: a mediana é eficaz em grandes amostras, mas quase impotente em pequenas amostras; quando a fonte de entrada está “comprada”, por mais sofisticado que seja o algoritmo, não há como salvá-la.
• O problema da “confiança cega” no sistema de liquidação: quase todas as plataformas CEX e DeFi assumem por padrão que o preço de marca é justo, usando-o como um gatilho de liquidação. Mas na realidade, essa confiança muitas vezes é construída sobre uma base de dados contaminada.

Estabelecer uma verdadeira “resistência à manipulação” entre o algoritmo e o jogo

O preço de marca não deve ser um valor “matematicamente correto, mas vulnerável em termos de jogo”, mas sim um produto de um mecanismo que possa manter a estabilidade sob pressão do mercado real. O ideal do DeFi é construir confiança através do código, mas o código não é perfeito; ele pode também solidificar preconceitos, amplificar falhas predefinidas e até mesmo se tornar uma arma nas mãos de atacantes.

O evento Jelly-My-Jelly não foi acidental, nem será a última vez. É um aviso: sem uma compreensão profunda da estrutura do jogo, qualquer mecanismo de liquidação baseado em “determinismo” é uma potencial porta de entrada para arbitragem. A maturação do mecanismo requer não apenas uma velocidade de correspondência mais rápida e uma maior eficiência de capital, mas também uma capacidade de autorreflexão no nível do design do mecanismo, capaz de identificar e fechar esses riscos sistêmicos encobertos pela “beleza matemática”.

Que possamos sempre manter um coração de reverência pelo mercado.

A matemática é simples, as pessoas são complexas.

Apenas a história dos jogos é repetitiva.

Saber que é assim, e saber por que é assim.