Khi người đưa tin trung thành bị vũ khí hóa - giá đánh dấu, vị quan tòa công bằng này đã trở thành ngòi nổ cho cơn bão thanh lý liên hoàn Hyperliquid.
Vào tháng 3 năm 2025, một token ít được biết đến có khối lượng giao dịch hàng ngày chưa đến 2 triệu USD - JELLY, đã gây ra một cơn bão thanh lý trị giá hàng triệu USD trên Hyperliquid. Điều đáng kinh ngạc là, kẻ tấn công không sửa đổi hợp đồng thông minh cũng như không khai thác lỗ hổng mã truyền thống, mà đã biến cơ chế an ninh cốt lõi nhất của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một “cuộc tấn công tuân thủ” đối với quy tắc hệ thống. Kẻ tấn công đã lợi dụng logic tính toán, quy trình thuật toán và cơ chế kiểm soát rủi ro công khai của nền tảng, tạo ra một “cuộc tấn công không mã” cực kỳ tàn phá đối với thị trường và các nhà giao dịch. Giá đánh dấu, lẽ ra nên là cái neo “trung lập và an toàn” của thị trường, đã trở thành một con dao sắc bén trong sự kiện này.
Bài viết này sẽ phân tích sâu sắc các rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo từ hai khía cạnh lý thuyết và thực tiễn, đồng thời thực hiện một cuộc tổng kết chi tiết về sự kiện tấn công Jelly-My-Jelly. Sự kiện này không chỉ tiết lộ sự yếu kém cấu trúc của thiết kế oracle, thuộc tính hai lưỡi của hồ chứa thanh khoản sáng tạo (HLP Vault), mà còn phơi bày sự không đối xứng nội tại trong việc bảo vệ tài sản người dùng của logic thanh lý chính thống trong những tình huống cực đoan.
Phần 1: Nghịch lý cốt lõi của hợp đồng vĩnh viễn - Cơ chế thanh lý do cảm giác an toàn giả tạo mang lại
1.1 Giá đánh dấu:Một trò chơi đồng thuận bị hiểu lầm là an toàn mang lại xu hướng thanh lý
Để hiểu cách giá đánh dấu trở thành điểm tấn công, trước tiên phải phân tích logic cấu thành của nó. Mặc dù cách tính toán của các sàn giao dịch có chút khác biệt, nhưng nguyên tắc cốt lõi thì rất nhất quán - cơ chế trung vị ba giá được xây dựng xung quanh “giá chỉ số”.
- Giá chỉ số (Index Price) là nền tảng của giá đánh dấu. Nó không xuất phát từ sàn giao dịch phái sinh mà được tính toán thông qua trung bình trọng số của giá tài sản trên nhiều nền tảng giao dịch hiện có hàng đầu (như Binance, Coinbase, Kraken, v.v.), nhằm mục đích cung cấp một mức giá tham khảo công bằng trên nhiều nền tảng và khu vực.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung bình (Giá1, Giá2, Giá giao dịch cuối cùng)
- Price1 = Giá chỉ số × (1 + Chênh lệch lãi suất vốn ): Định giá hợp đồng dựa vào giá chỉ số và xem xét kỳ vọng của thị trường.
- Price2 = giá chỉ số + chênh lệch trung bình động: được sử dụng để làm mịn các bất thường về giá ngắn hạn.
- Last Traded Price = Giá đánh dấu trên nền tảng sản phẩm phái sinh.
Sự xuất hiện của giá trị trung vị nhằm loại bỏ các giá trị bất thường và nâng cao tính ổn định của giá cả. Tuy nhiên, tính an toàn của thiết kế này hoàn toàn dựa trên một giả thuyết quan trọng: Số lượng nguồn dữ liệu đầu vào phải đủ, phân bố hợp lý, có tính thanh khoản cao và khó bị thao túng đồng bộ.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo rất yếu. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có tính thanh khoản thấp, họ có thể “ô nhiễm” giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại qua công thức vào giá đánh dấu. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra hiệu ứng dây chuyền.
Nói cách khác, cơ chế tổng hợp ban đầu là để phân tán rủi ro, nhưng trong một thị trường có tính thanh khoản thấp, nó lại tạo ra “điểm yếu trung tâm” mà kẻ tấn công có thể kiểm soát. Càng nhấn mạnh tính minh bạch và khả năng dự đoán của các quy tắc, các nền tảng phái sinh càng dễ dàng cho phép kẻ tấn công “tận dụng quy tắc theo cách lập trình”, thiết lập một con đường phá hoại hợp pháp.
1.2 Công cụ thanh lý: lá chắn của nền tảng, cũng là lưỡi dao
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của trader sẽ bị thua lỗ làm giảm. Khi ký quỹ còn lại giảm xuống dưới “tỷ lệ ký quỹ duy trì” (Maintenance Margin), công cụ thanh lý sẽ được khởi động.
Trong những quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu (Mark price), chứ không phải giá giao dịch mới nhất của chính nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch trên thị trường hiện tại chưa chạm đến giới hạn thanh lý của bạn, chỉ cần giá đánh dấu “không nhìn thấy” đó đạt đến, thanh lý sẽ ngay lập tức được kích hoạt.
Điều đáng lo ngại hơn là cơ chế “giải chấp bắt buộc” (hay còn gọi là thanh lý sớm).
Trong nhiều sàn giao dịch, để tránh rủi ro thanh lý, hệ thống quản lý rủi ro thường áp dụng các tham số thanh lý khá bảo thủ. Khi xảy ra thanh lý cưỡng chế, ngay cả khi giá thanh lý tốt hơn giá thực tế để lỗ về không, nền tảng cũng thường không hoàn trả phần “thặng dư thanh lý cưỡng chế” này, mà sẽ trực tiếp đưa vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các nhà giao dịch có cảm giác “rõ ràng còn tiền ký quỹ, nhưng lại bị thanh lý trước” và tài khoản trực tiếp về không.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên thận trọng hơn, do đó dễ khiến vị thế bị “phá vỡ trước” trong những biến động giá. Logic này là hợp lý, nhưng kết quả lại khiến lợi ích của nền tảng và nhà giao dịch có sự lệch lạc tinh tế trong các tình huống cực đoan.
Công cụ thanh lý lẽ ra nên là một công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân bổ lợi nhuận, lựa chọn thông số và logic kích hoạt, nó lại có xu hướng tạo ra lợi nhuận cho nền tảng.
1.3 Sự mất hiệu lực của giá đánh dấu dẫn đến sự méo mó của động cơ thanh lý
Trong xu hướng ghét thua lỗ trên nền tảng này, sự biến động mạnh của giá chỉ số và giá đánh dấu càng làm trầm trọng thêm việc di chuyển trước (sau) của tiền bị thanh lý.
Lý thuyết giá đánh dấu cung cấp một tiêu chuẩn giá công bằng và chống thao túng thông qua việc tổng hợp dữ liệu từ nhiều nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chính thống có tính thanh khoản dồi dào, nhưng sẽ đối mặt với những thách thức nghiêm trọng về hiệu quả khi đối diện với các đồng tiền điện tử có tính thanh khoản thấp và tập trung giao dịch.
Sự thất bại của trung vị: Khó khăn thống kê do tập trung nguồn dữ liệu
- Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập và có tính thanh khoản cao. Nếu một trong những nguồn dữ liệu đó gặp phải báo giá cực đoan vì lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó là giá trị ngoại lai và bỏ qua, lấy giá trị trung bình làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
- Sự yếu kém trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình của đồng tiền ảo.
- Tình huống ba nguồn dữ liệu: Nếu chỉ có chỉ số giá đánh dấu của một đồng tiền ảo bao gồm giá giao ngay của ba sàn giao dịch (A, B, C). Lúc này, giá trị trung vị chính là giá đứng ở giữa trong ba giá đó. Nếu một kẻ xấu thao túng giá của hai sàn giao dịch (ví dụ A và B) cùng lúc, thì dù giá của C có chân thực đến đâu, giá trị trung vị cũng sẽ bị quyết định bởi giá bị thao túng của A và B. Lúc này, tác dụng bảo vệ của thuật toán trung vị hầu như bằng không.
- Tình huống hai nguồn dữ liệu: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, thì trung vị về mặt toán học bằng với giá trung bình của hai mức giá này. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ giá trị ngoại lệ. Bất kỳ sự biến động mạnh nào từ một nguồn dữ liệu đều sẽ được truyền dẫn trực tiếp, không có sự suy giảm đến giá đánh dấu.
Đối với hầu hết các đồng tiền ảo, độ sâu giao dịch và số lượng sàn giao dịch niêm yết đều rất hạn chế, điều này khiến cho chỉ số giá của chúng dễ dàng rơi vào cái bẫy “tập dữ liệu nhỏ” đã nêu ở trên. Do đó, cảm giác an toàn mà “chỉ số đa nguồn” mà các sàn giao dịch tuyên bố mang lại, thường chỉ là một ảo giác trong thế giới tiền điện tử. Rất nhiều lần, giá giao dịch gần nhất thường ngang bằng với giá đánh dấu.
Phần hai: Khó khăn của oracle: Khi tính thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có nền tảng là giá chỉ số, trong khi nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEXi, oracle đóng vai trò như cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này mặc dù quan trọng, nhưng lại rất yếu trong thời điểm thiếu hụt thanh khoản.
2.1 Oracle: Cầu nối yếu giữa chuỗi và ngoại chuỗi
Hệ thống blockchain về bản chất là đóng và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Giá đánh dấu (Oracle) ra đời, nó là một hệ thống trung gian, có trách nhiệm truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy lên chuỗi, cung cấp thông tin đầu vào “thế giới thực” cho hoạt động của hợp đồng thông minh.
Trong các nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay, dữ liệu giá mà oracle cung cấp gần như trở thành nền tảng cho logic quản lý rủi ro của chúng. Tuy nhiên, một sự thật thường bị bỏ qua là: một oracle “trung thực” không có nghĩa là nó báo cáo giá “hợp lý”. Trách nhiệm của oracle chỉ là ghi lại trung thực trạng thái thế giới bên ngoài mà nó có thể quan sát, nó không đánh giá xem giá có sai lệch so với cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
- Tấn công oracle (Oracle Exploit): Kẻ tấn công sử dụng các phương pháp kỹ thuật để can thiệp vào nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
- Thao túng thị trường (Market Manipulation): Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc hạ giá xuống, trong khi các oracle hoạt động bình thường sẽ ghi lại và báo cáo chính xác giá thị trường “bị thao túng” này. Giao thức trên chuỗi không bị xâm nhập, nhưng lại phát sinh phản ứng không mong muốn do “nhiễm thông tin”.
Điều sau đây chính là bản chất của sự kiện Mango Markets và Jelly-My-Jelly: không phải là oracle bị tấn công, mà là “cửa sổ quan sát” của nó bị ô nhiễm.
2.2 Điểm tấn công: Khi thiếu hụt thanh khoản trở thành vũ khí
Cốt lõi của loại tấn công này là lợi dụng sự bất lợi về tính thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với tài sản có giao dịch mỏng, ngay cả những đơn hàng nhỏ cũng có thể gây ra biến động giá mạnh, từ đó cung cấp cơ hội cho kẻ thao túng.
Cuộc tấn công vào Mango Markets vào tháng 10 năm 2022 được coi là một “mô hình”. Kẻ tấn công Avraham Eisenberg đã tận dụng sự cạn kiệt thanh khoản cực độ của token quản trị MNGO (khi đó khối lượng giao dịch hàng ngày chưa đến 100.000 USD), thông qua việc đầu tư khoảng 4 triệu USD vào nhiều sàn giao dịch, thành công trong việc đẩy giá MNGO tăng hơn 2300% trong thời gian rất ngắn. “Giá bất thường” này đã được oracle ghi nhận đầy đủ và được cung cấp cho các giao thức trên chuỗi, dẫn đến việc hạn mức vay của nó tăng vọt, cuối cùng “hợp pháp” rút sạch toàn bộ tài sản của nền tảng (khoảng 116 triệu USD).
Phân tích đường tấn công: Năm bước xuyên thủng phòng tuyến giao thức
- Lựa chọn mục tiêu (Target Selection): Kẻ tấn công trước tiên lọc ra các đồng token mục tiêu, thường có các điều kiện sau: đã ra mắt hợp đồng vĩnh viễn trên một nền tảng phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, có tính thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, rất dễ bị thao túng.
- Huy động vốn (Capital Acquisition): Phần lớn các kẻ tấn công sử dụng “vay chớp nhoáng (Flash Loans)” để có được nguồn vốn khổng lồ tạm thời. Cơ chế này cho phép vay và trả lại tài sản trong một giao dịch duy nhất mà không cần bất kỳ tài sản đảm bảo nào, giảm đáng kể chi phí thao túng.
- Cuộc tấn công Thị trường Giao ngay (Spot Market Blitz): Kẻ tấn công trong thời gian rất ngắn, đồng thời phát lệnh mua lớn tại tất cả các sàn giao dịch được theo dõi bởi oracle. Những lệnh này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa rời giá trị thực của nó.
- Ô nhiễm oracle (Oracle Contamination): Oracle trung thành đọc giá từ các sàn giao dịch bị thao túng ở trên, ngay cả khi sử dụng các cơ chế chống dao động như trung vị, trung bình có trọng số, cũng khó có thể chống lại thao túng từ nhiều nguồn xảy ra đồng thời. Cuối cùng, giá chỉ số thu được bị ô nhiễm nghiêm trọng.
- Giá đánh dấu bị nhiễm (Mark Price Infection): Giá chỉ số bị ô nhiễm vào nền tảng phái sinh, ảnh hưởng đến việc tính toán giá đánh dấu. Động cơ thanh lý đánh giá sai khoảng rủi ro, kích hoạt “thanh lý” quy mô lớn, nhà giao dịch chịu tổn thất nặng nề, còn kẻ tấn công có thể thực hiện giao dịch chênh lệch thông qua việc giữ vị thế ngược hoặc hoạt động vay mượn.
Sổ tay “chiến tranh” của kẻ tấn công: con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường coi “mã nguồn mở và minh bạch” là đức tính, công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất làm mới giá cả và các chi tiết khác nhằm xây dựng niềm tin của người dùng. Tuy nhiên, đối với kẻ tấn công, những thông tin này lại trở thành “hướng dẫn” để lập kế hoạch tấn công.
Lấy Hyperliquid làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các sàn giao dịch nguồn dữ liệu và trọng số của chúng. Kẻ tấn công do đó có thể tính toán chính xác, ở mỗi sàn giao dịch có tính thanh khoản yếu nhất cần đầu tư bao nhiêu tiền, nhằm tối đa hóa việc bóp méo chỉ số trọng số cuối cùng. “Kỹ thuật thuật toán” này khiến cho việc tấn công trở nên có thể kiểm soát, có thể dự đoán và giảm thiểu chi phí.
Toán học rất đơn giản, nhưng con người thì rất phức tạp.
Phần ba: Săn lùng — Phân tích rủi ro cấu trúc của Hyperliquid
Sau khi hiểu được nguyên lý tấn công, “kẻ tấn công” tiếp theo sẽ chọn “chiến trường” phù hợp để thực hiện - Hyperliquid. Mặc dù thao túng oracle là một phương thức tấn công phổ biến, nhưng lý do sự kiện “Jelly-My-Jelly” có thể xảy ra trên Hyperliquid và gây ra hậu quả nghiêm trọng, thực chất là do cấu trúc thanh khoản và cơ chế thanh lý đặc trưng của nền tảng này. Những thiết kế nhằm nâng cao trải nghiệm người dùng và hiệu quả vốn này, mặc dù tràn đầy đổi mới, nhưng cũng vô tình cung cấp cho kẻ tấn công một “sân săn” lý tưởng.
3.1 HLP Kho bạc: Nhà tạo lập thị trường và đối tác thanh toán dân chủ hóa
Một trong những đổi mới cốt lõi của Hyperliquid là kho HLP của nó - một bể thanh khoản được quản lý thống nhất bởi giao thức, đảm nhận hai chức năng. (Giới thiệu chi tiết về HLP:
)
Đầu tiên, HLP đóng vai trò là nhà tạo lập thị trường chủ động của nền tảng. Nó cho phép người dùng trong cộng đồng gửi USDC vào kho, tham gia vào các chiến lược tạo lập thị trường tự động của nền tảng và chia sẻ lợi nhuận (hoặc thua lỗ) theo tỷ lệ. Cơ chế tạo lập thị trường “dân chủ” này giúp HLP cung cấp liên tục các bảng giá mua bán cho nhiều đồng altcoin thiếu thanh khoản. Chính vì vậy, ngay cả những token có vốn hóa nhỏ như JELLY cũng có thể duy trì các vị thế đòn bẩy hàng triệu đô la trên Hyperliquid - điều mà các sàn giao dịch truyền thống khó có thể thực hiện. (Nói cách khác, có thể xây dựng vị thế.)
Tuy nhiên, thiết kế này không chỉ thu hút các nhà đầu tư mạo hiểm mà còn thu hút những tồn tại nguy hiểm hơn: những kẻ tấn công cố tình thao túng thị trường.
Điều quan trọng hơn là HLP còn đóng vai trò là “hậu thuẫn dừng lỗ thanh lý” của nền tảng, tức là bên đối tác thanh lý cuối cùng. Khi vị thế đòn bẩy bị cưỡng chế thanh lý, và trong thị trường không có đủ người thanh lý sẵn sàng tiếp nhận, giao thức sẽ tự động chuyển những vị thế rủi ro cao này cho kho HLP, và sẽ nhận toàn bộ theo giá của oracle.
Hệ quả của cơ chế này là: HLP trở thành một thực thể tiếp nhận có thể được sử dụng một cách xác định, hoàn toàn không có khả năng tự đánh giá. Kẻ tấn công khi triển khai chiến lược, hoàn toàn có thể dự đoán rằng “vị trí độc hại” của nó một khi kích hoạt thanh lý, sẽ được ai tiếp nhận - không phải là các đối thủ giao dịch ngẫu nhiên và không thể dự đoán trên thị trường, mà là một hệ thống tự động hóa thực hiện logic hợp đồng thông minh, 100% theo quy tắc: HLP vault.
3.2 Các khuyết điểm cấu trúc của cơ chế thanh lý
Sự kiện Jelly-My-Jelly đã phơi bày một lỗ hổng chết người của Hyperliquid trong điều kiện thị trường cực đoan, có nguồn gốc từ cấu trúc tài chính và mô hình thanh lý bên trong kho HLP.
Khi cuộc tấn công xảy ra, không có cơ chế phân tách nghiêm ngặt giữa “bể dự trữ thanh lý” chuyên trách xử lý các vị trí bị thanh lý và các bể tiền khác thực hiện các chiến lược như tạo lập thị trường. Chúng chia sẻ cùng một tài sản thế chấp. Khi vị thế bán khống trị giá 4 triệu đô la của kẻ tấn công bị thanh lý do giá đánh dấu tăng vọt, vị thế này được chuyển hoàn toàn vào bể dự trữ thanh lý. Khi giá JELLY tiếp tục tăng, khoản lỗ của vị thế này cũng tiếp tục mở rộng.
Kẻ tấn công chỉ cần kích hoạt thanh lý (tự động giảm vốn ký quỹ), có thể “không tốn sức” ném vị thế thua lỗ của mình cho người nhận bên trong hệ thống - quỹ HLP. Kẻ tấn công hiểu rõ: quy tắc giao thức sẽ buộc HLP thực hiện việc nhận hàng vào thời điểm giá bất lợi nhất, trở thành “người mua vô điều kiện” của nó.
Theo lý thuyết, khi vị thế thua lỗ lớn đến mức đe dọa sự ổn định của hệ thống nền tảng, thì nên tự động kích hoạt cơ chế giảm vị thế tự động ADL, buộc người dùng có hướng lợi nhuận ngược lại phải giảm vị thế để chia sẻ rủi ro. Nhưng lần này, ADL không được kích hoạt.
Lý do là: Mặc dù quỹ dự trữ thanh lý đã bị thua lỗ sâu sắc, nhưng vì nó có thể gọi vốn từ tài sản thế chấp của các quỹ chiến lược khác trong toàn bộ kho HLP, hệ thống đánh giá “tình trạng tổng thể” của toàn bộ kho HLP vẫn tốt, do đó không kích hoạt cơ chế kiểm soát rủi ro. Thiết kế cơ chế thế chấp chia sẻ này đã vô tình vượt qua ranh giới rủi ro hệ thống ADL, khiến cho những tổn thất đáng lẽ phải do toàn bộ thị trường gánh chịu cuối cùng lại tập trung bùng phát trong kho HLP.
Phần bốn: Phân tích trường hợp —— Phân tích hoàn chỉnh cuộc tấn công Jelly-My-Jelly
Vào ngày 26 tháng 3 năm 2025, một cuộc tấn công được lên kế hoạch kỹ lưỡng đã diễn ra trên Hyperliquid, với mục tiêu trực tiếp là Jelly-My-Jelly (JELLY). Cuộc tấn công này khéo léo kết hợp việc thao túng tính thanh khoản, sự hiểu biết sâu sắc về cơ chế oracle, và việc khai thác các điểm yếu kiến trúc của nền tảng, trở thành một ví dụ điển hình về việc giải cấu trúc các mô hình tấn công DeFi hiện đại.
4.1 Giai đoạn 1: Bố trí —— Cái bẫy bán khống trị giá 400 triệu đô la
Cuộc tấn công này không phải là hành động bột phát. Dữ liệu trên chuỗi cho thấy, kẻ tấn công đã thực hiện một loạt giao dịch quy mô nhỏ trong suốt mười ngày trước khi sự việc xảy ra, rõ ràng là đang chuẩn bị cho hành động cuối cùng.
Vào ngày 26 tháng 3, khi giá giao ngay của JELLY dao động quanh 0,0095 đô la, kẻ tấn công bắt đầu thực hiện giai đoạn đầu tiên. Nhiều địa chỉ ví tham gia, trong đó địa chỉ 0xde96 là người thực hiện chính. Kẻ tấn công đã âm thầm xây dựng một vị thế bán trị giá khoảng 4 triệu đô la trên thị trường hợp đồng vĩnh viễn của JELLY thông qua giao dịch tự mình (tức là vừa là bên mua vừa là bên bán), và hỗ trợ bởi tổng cộng 3 triệu đô la vị thế mua đối kháng. Mục đích của giao dịch đối kháng này là để tối đa hóa OI của hợp đồng chưa thanh toán, đồng thời tránh gây ra biến động bất thường trên thị trường, từ đó tạo cơ sở cho việc thao túng giá và khơi mào thanh lý sau này.
4.2 Giai đoạn hai: Tấn công —— Trận chiến chớp nhoáng trên thị trường giao ngay
Sau khi hoàn tất bố cục, cuộc tấn công bước vào giai đoạn thứ hai: nhanh chóng đẩy giá giao ngay lên cao. JELLY là mục tiêu mà những kẻ thao túng mơ ước. Tổng vốn hóa thị trường của nó chỉ khoảng 15 triệu USD, sổ lệnh trên các sàn giao dịch chính rất mỏng. Theo dữ liệu từ Kaiko Research, độ sâu thị trường 1% của nó chỉ là 72.000 USD, thấp hơn nhiều so với các đồng token cùng loại khác.
Kẻ tấn công đã tận dụng điều này để phát động một cuộc tấn công mua vào đồng thời trên nhiều sàn giao dịch tập trung và phi tập trung. Do thiếu hỗ trợ từ bên bán, giá JELLY đã bị đẩy lên nhanh chóng trong một thời gian ngắn. Bắt đầu từ 0.008 đô la, chỉ trong chưa đầy một giờ, giá đã tăng vọt hơn 500%, đạt đỉnh 0.0517 đô la. Trong khi đó, khối lượng giao dịch cũng tăng vọt. Chỉ riêng sàn giao dịch Bybit, doanh thu giao dịch JELLY trong ngày đã vượt qua 150 triệu đô la, lập kỷ lục mới.
4.3 Giai đoạn ba: Bùng nổ —— Ô nhiễm oracle và thác thanh lý
Sự tăng giá mạnh mẽ của giá giao ngay nhanh chóng được truyền tải đến hệ thống giá đánh dấu của Hyperliquid. Cơ chế oracle của Hyperliquid sử dụng thuật toán trung vị trọng số đa nguồn, tích hợp dữ liệu giao ngay từ nhiều sàn giao dịch như Binance, OKX, Bybit. Do những kẻ tấn công hành động đồng bộ tại các nguồn chính này, giá chỉ số cuối cùng được tổng hợp đã bị ô nhiễm hiệu quả, dẫn đến việc giá đánh dấu bên trong nền tảng đồng bộ tăng lên.
Giá đánh dấu nhảy vọt đã trực tiếp kích hoạt các vị trí bán khống mà kẻ tấn công đã thiết lập trước đó. Khi thua lỗ mở rộng, vị trí trị giá 4 triệu đô la này đã kích hoạt việc thanh lý cưỡng chế. Khoảnh khắc này không phải là thất bại của cuộc tấn công, mà là phần cốt lõi trong thiết kế của cuộc tấn công.
Do HLP kho bạc đóng vai trò là bên đối tác thanh toán của nền tảng, theo logic hợp đồng thông minh, nó tiếp nhận không điều kiện, trong khi hệ thống thanh lý lại không kích hoạt cơ chế ADL (Giảm vị thế tự động) để phân chia rủi ro, toàn bộ vị thế rủi ro cao trực tiếp đè nặng lên HLP. Nói cách khác, kẻ tấn công đã thành công trong việc “chuyển nhượng” tổn thất phá sản của mình cho xã hội, khiến nhà cung cấp thanh khoản của HLP phải gánh chịu hậu quả cho hành vi thao túng của mình.
4.4 Giai đoạn bốn: Dư chấn —— Gỡ bỏ khẩn cấp và Phản思 thị trường
Trong khi Hyperliquid rơi vào hỗn loạn, thị trường bên ngoài cũng xuất hiện những phản ứng phức tạp. Trong vòng một giờ khi JELLY bị thao túng lên mức cao, Binance và OKX gần như đồng thời ra mắt hợp đồng vĩnh viễn cho JELLY. Thị trường thường giải thích hành động này là “thừa nước đục thả câu” đối với đối thủ Hyperliquid, làm gia tăng thêm sự biến động của thị trường JELLY, gián tiếp mở rộng khả năng thua lỗ tiềm tàng của kho HLP.
Đối mặt với áp lực lớn từ thị trường và cộng đồng, các nút xác thực của Hyperliquid đã bỏ phiếu khẩn cấp, thông qua nhiều biện pháp ứng phó: ngay lập tức và vĩnh viễn gỡ bỏ hợp đồng vĩnh viễn JELLY; quỹ sẽ tài trợ để bồi thường toàn bộ cho tất cả người dùng bị ảnh hưởng từ các địa chỉ không tấn công.
Theo dữ liệu từ Lookonchain, vào thời điểm tấn công mãnh liệt nhất, khoản lỗ chưa thực hiện của kho HLP đã lên tới 12 triệu USD. Mặc dù Hyperliquid đã báo cáo rằng tổng thiệt hại trong 24 giờ cuối cùng được kiểm soát ở mức 700.000 USD, nhưng sự kiện này chắc chắn đã có tác động sâu sắc đến cấu trúc và hệ thống quản lý rủi ro của nền tảng.
Quá trình sự kiện JELLY
Kết luận —— Ảo giác giá đánh dấu và các đề xuất phòng ngừa của hợp đồng vĩnh viễn
Kẻ tấn công trong sự kiện Jelly-My-Jelly không dựa vào lỗ hổng hợp đồng phức tạp hay các phương pháp mật mã, họ chỉ đơn giản là nhận ra và khai thác các khiếm khuyết cấu trúc toán học của cơ chế tạo ra giá đánh dấu - nguồn dữ liệu nhỏ, tổng hợp trung vị, phân mảnh thanh khoản, và vận hành theo cơ chế thanh lý của thị trường. Cuộc tấn công này không cần kỹ thuật hacker tinh vi, chỉ cần thao tác thị trường hợp lý và hiểu biết sâu sắc về logic của giao thức.
Vấn đề cơ bản của việc điều khiển giá đánh dấu là:
- Tính liên quan cao của dữ liệu oracle: Những đầu vào giá được cho là “đa nguồn” thực tế đến từ một vài sàn giao dịch có tính thanh khoản chồng chéo nghiêm trọng. Một khi một số sàn giao dịch quan trọng bị tấn công, toàn bộ chỉ số giá sẽ trở nên vô nghĩa.
- Độ dung nạp của thuật toán tổng hợp đối với giá trị ngoại lệ: trung vị có hiệu quả trong mẫu lớn, nhưng gần như không có sức mạnh trong mẫu nhỏ; khi nguồn đầu vào đã “bị mua đứt”, thuật toán dù tinh vi đến đâu cũng không thể cứu vãn.
- Vấn đề “niềm tin mù” trong hệ thống thanh lý: Hầu hết các nền tảng CEX và DeFi đều mặc định rằng giá đánh dấu là công bằng, và do đó, coi đó như là bộ kích hoạt thanh lý. Tuy nhiên, trong thực tế, niềm tin này thường được xây dựng trên cơ sở dữ liệu bị ô nhiễm.
Xây dựng “kháng thao túng” thực sự giữa thuật toán và trò chơi
Giá đánh dấu không nên là một giá trị “đúng về mặt toán học nhưng yếu ớt trong trò chơi”, mà nên là sản phẩm của một cơ chế có thể duy trì sự ổn định dưới áp lực thị trường thực. Lý tưởng của DeFi là xây dựng niềm tin bằng mã, nhưng mã không hoàn hảo, nó cũng có thể củng cố thành kiến, phóng đại các khuyết điểm đã được đặt sẵn, thậm chí trở thành vũ khí trong tay kẻ tấn công.
Sự kiện Jelly-My-Jelly không phải là ngẫu nhiên, và sẽ không phải là lần cuối cùng. Nó là một lời cảnh báo: Trước khi hiểu sâu về cấu trúc trò chơi, bất kỳ cơ chế thanh toán “chắc chắn” nào đều là một cổng vào tiềm năng cho việc chênh lệch giá. Để cơ chế phát triển hoàn thiện, không chỉ cần tốc độ khớp lệnh nhanh hơn và hiệu quả vốn cao hơn, mà còn cần một khả năng tự phản ánh ở cấp độ thiết kế cơ chế, có thể nhận diện và bịt kín những rủi ro hệ thống bị “vẻ đẹp toán học” che lấp.
Mong rằng chúng ta luôn giữ một tấm lòng kính sợ thị trường.
Toán học thì đơn giản, con người thì phức tạp.
Chỉ có các trò chơi lịch sử là lặp lại.
Biết điều đó, và cũng biết lý do của nó.
