Analyse approfondie : la manipulation des prix de marque déclenche une tempête de liquidation de plusieurs millions de dollars, le manque de liquidité devenant le point faible fatal de la plateforme d'échange.
Quand le prix de marque devient une arme : Analyse de la tempête de liquidations en chaîne de Hyperliquid
En mars 2025, une petite cryptomonnaie JELLY, avec un volume d'échange quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme de trading. Ce qui est choquant, c'est que l'attaquant n'a ni modifié le contrat intelligent, ni exploité des vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité le plus fondamental de la plateforme — le prix de marque — en une arme.
Ce n'est pas une attaque de hacker, mais une "attaque de conformité" contre les règles du système. Les attaquants ont utilisé la logique de calcul, les processus d'algorithme et les mécanismes de gestion des risques publiés par la plateforme pour créer une "attaque sans code" d'une grande destructivité pour le marché et les traders. Le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sûr" pour le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur, à la fois sur le plan théorique et pratique, les risques systémiques du mécanisme de prix de marque sur le marché des contrats perpétuels des altcoins, et effectuera une revue détaillée de cet incident d'attaque. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants, mais a également mis en lumière l'asymétrie inhérente à la protection des fonds des utilisateurs par la logique de liquidation actuelle en période de marché extrême.
Première partie : Le paradoxe central des contrats à terme perpétuels - L'inclinaison du mécanisme de liquidation due à un faux sentiment de sécurité
1.1 prix de marque : une tendance à la liquidation causée par un jeu de consensus mal interprété comme sûr
Pour comprendre comment le prix de marque devient un point d'entrée pour les attaques, il faut d'abord décomposer sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une plateforme à l'autre, le principe fondamental est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix index".
Le prix d'indice (Index Price) est la pierre angulaire du prix de marque. Il ne provient pas de la bourse des dérivés elle-même, mais est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot mainstream, dans le but de fournir un prix de référence équitable à travers les plateformes et les régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
Price1 = prix de marque × (1 + écart de taux de financement ) : ancre le prix du contrat au prix de marque et prend en compte les attentes du marché.
Price2 = prix de marque + écart type de la moyenne mobile : utilisé pour lisser les anomalies de prix à court terme.
Last Traded Price = prix de marque sur la plateforme des dérivés.
L'introduction de la médiane a été conçue pour éliminer les valeurs aberrantes et améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur une hypothèse clé : le nombre de sources de données d'entrée est suffisant, la distribution est raisonnable, la liquidité est forte et difficile à manipuler de manière coordonnée.
Cependant, dans la réalité, la majorité des marchés au comptant des altcoins est extrêmement faible. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, permettant ainsi l'injection légitime de données malveillantes dans le prix de marque par le biais de formules. Cette attaque peut déclencher des liquidations massives de leviers à moindre coût, provoquant un effet domino.
En d'autres termes, le mécanisme d'agrégation est censé disperser les risques, mais dans un marché à faible liquidité, il crée plutôt une "faiblesse centralisée" contrôlable par les attaquants. Plus une plateforme de produits dérivés met l'accent sur la transparence et la prévisibilité de ses règles, plus les attaquants peuvent "exploiter les règles de manière programmée" et construire un chemin de destruction conforme.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "prix de marque" (Maintenance Margin), le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus essentiel est le prix de marque (Mark price), et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce prix de marque "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est d'autant plus préoccupant que le mécanisme de "liquidation forcée" (ou de liquidation anticipée).
Dans de nombreux échanges, afin d'éviter le risque de liquidation, les systèmes de gestion des risques adoptent souvent des paramètres de liquidation plutôt conservateurs. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix réel à zéro perte, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion qu'ils ont encore des marges, mais qu'ils sont liquidés prématurément, et leur compte est directement réduit à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour couvrir leurs propres risques, les plateformes ajustent les lignes de liquidation de manière plus conservatrice, ce qui rend plus probable que les positions soient « liquidées à l'avance » lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage dans les positions d'intérêt des plateformes et des traders en cas de conditions extrêmes.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des revenus, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
1.3 L'expiration du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance à détester les pertes sur cette plateforme, les fluctuations abruptes des prix d'indice et des prix de marque aggravent davantage le déplacement préventif (post) des liquidations forcées.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut s'appliquer aux actifs majeurs avec une liquidité abondante, mais son efficacité sera confrontée à de sérieux défis lorsqu'il s'agit de altcoins avec une liquidité faible et des lieux d'échange concentrés.
L'échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans un grand ensemble de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et hautement liquides. Si l'une de ces sources de données présente une citation extrême pour une raison quelconque, l'algorithme de la médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur médiane comme prix final, préservant ainsi la stabilité de l'indice.
Vulnérabilités dans un petit ensemble de données : maintenant, nous considérons un scénario typique de crypto-monnaie.
Scénario des trois sources de données : Si l'indice de prix de marque d'une cryptomonnaie ne contient que les prix au comptant de trois échanges (A, B, C). Dans ce cas, la médiane est le prix qui se trouve au milieu des trois prix. Si un acteur malveillant manipule simultanément les prix de deux échanges (par exemple A et B), alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, la protection offerte par l'algorithme de médiane est presque nulle.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement la capacité d'éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur des transactions et le nombre d'échanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège du "petit ensemble de données" mentionné ci-dessus. Ainsi, le sentiment de sécurité apporté par le "multi-sources index" revendiqué par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Souvent, le dernier prix de transaction est équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles : quand l'épuisement de la liquidité au comptant devient une arme
Le fondement du prix de marque est le prix indice, et la source du prix indice est l'oracle. Que ce soit CEX ou DEX, les oracles jouent un rôle de pont dans la transmission d'informations entre la chaîne et l'extérieur. Cependant, ce pont, bien qu'essentiel, est particulièrement fragile en période de faible liquidité.
2.1 Oracles : un pont fragile entre la chaîne et l'extérieur
Un système de blockchain est essentiellement fermé et déterministe, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que le prix du marché des actifs. Les oracles ont vu le jour, ils constituent un système intermédiaire chargé de transmettre des données hors chaîne de manière sécurisée et fiable sur la chaîne, fournissant ainsi des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats à terme perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de la logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque complètement différents :
Exploit d'Oracle : Les attaquants modifient par des moyens techniques la source de données ou le protocole de l'oracle, le poussant à signaler des prix incorrects.
Manipulation de marché : Les attaquants manipulent les marchés externes en augmentant ou en baissant délibérément les prix, tandis que les oracles fonctionnant normalement enregistrent et rapportent ce prix de marché "manipulé". Le protocole en chaîne n'a pas été piraté, mais a réagi de manière inattendue en raison d'une "contamination de l'information".
Dans ce dernier cas, c'est la substance d'un événement d'échange : ce n'est pas que l'oracle a été compromis, mais que sa "fenêtre d'observation" a été polluée.
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque d'une certaine plateforme d'échange en octobre 2022 peut être qualifiée de "modèle". Les attaquants ont exploité l'épuisement extrême de la liquidité de son jeton de gouvernance (avec un volume quotidien de négociation de moins de 100 000 dollars à l'époque), en investissant environ 4 millions de dollars de manière concentrée sur plusieurs plateformes d'échange, réussissant à faire grimper le prix de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et alimenté au protocole sur la chaîne, provoquant une explosion de la limite de prêt, et a finalement "légalement" vidé tous les actifs de la plateforme (environ 116 millions de dollars).
Détails du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles (Target Selection) : L'attaquant commence par filtrer les tokens cibles, qui répondent généralement aux critères suivants : des contrats perpétuels lancés sur une plateforme de dérivés mainstream ; le prix de l'oracle provient de plusieurs échanges au comptant connus pour leur faible liquidité ; un faible volume quotidien de transactions, un carnet de commandes clairsemé, facile à manipuler.
Acquisition de capital : La plupart des attaquants obtiennent des fonds temporaires massifs par le biais de "prêts éclair". Ce mécanisme permet d'emprunter et de rembourser des actifs en une seule transaction, sans aucune garantie, réduisant considérablement les coûts de manipulation.
Blitz du marché au comptant (Spot Market Blitz) : Les attaquants passent un grand nombre d'ordres d'achat simultanément sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, propulsant le prix à des niveaux élevés – loin de sa valeur réelle.
Pollution des oracles (Oracle Contamination) : Les oracles lisent fidèlement les prix des bourses manipulées mentionnées ci-dessus. Même en utilisant des mécanismes de résistance à la volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation multi-sources simultanée. Le prix de l'indice obtenu est donc gravement contaminé.
Infection du prix de marque (Mark Price Infection) : un prix d'indice contaminé entre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation évalue à tort la plage de risque, déclenchant une "liquidation" à grande échelle, entraînant des pertes énormes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par le biais de positions inversées ou d'opérations de prêt.
"Manuel de guerre" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les CEX ou les protocoles DEX, il est courant de valoriser la "transparence open source" en rendant publiques les détails concernant leur mécanisme d'oracle, le poids des sources de données, la fréquence de mise à jour des prix, etc., dans le but d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons l'exemple d'une plateforme de trading, son architecture d'oracle énumère publiquement toutes les sources de données des échanges et leurs poids. Un attaquant peut donc calculer avec précision combien de fonds investir dans chaque échange avec la liquidité la plus faible, afin de déformer au maximum l'indice pondéré final. Ce type d'"ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
Troisième partie : Champ de chasse — Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir le "champ de bataille" approprié pour mener à bien son attaque - une certaine plateforme de trading. Bien que la manipulation des oracles soit une méthode d'attaque courante, c'est cette fois-ci que cet événement a pu se produire.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
6
Reposter
Partager
Commentaire
0/400
zkProofInThePudding
· Il y a 11h
Tuer sans couteau, il suffit de jouer avec le prix de marque.
Voir l'originalRépondre0
TrustlessMaximalist
· 08-11 03:47
jelly est là pour couper des gens ou un couteau
Voir l'originalRépondre0
ImpermanentLossFan
· 08-10 15:02
Nouveau jeton, même les contrats, ce sont tous des pigeons.
Voir l'originalRépondre0
PanicSeller
· 08-10 14:54
Dans l'univers de la cryptomonnaie, un vieux pigeon a enfin acheté le dip après avoir perdu pendant trois ans.
Voir l'originalRépondre0
MemeTokenGenius
· 08-10 14:46
Une nouvelle opportunité de gagner de l'argent en déplaçant des briques.
Analyse approfondie : la manipulation des prix de marque déclenche une tempête de liquidation de plusieurs millions de dollars, le manque de liquidité devenant le point faible fatal de la plateforme d'échange.
Quand le prix de marque devient une arme : Analyse de la tempête de liquidations en chaîne de Hyperliquid
En mars 2025, une petite cryptomonnaie JELLY, avec un volume d'échange quotidien de moins de 2 millions de dollars, a déclenché une tempête de liquidation de plusieurs millions de dollars sur une plateforme de trading. Ce qui est choquant, c'est que l'attaquant n'a ni modifié le contrat intelligent, ni exploité des vulnérabilités de code traditionnelles, mais a transformé le mécanisme de sécurité le plus fondamental de la plateforme — le prix de marque — en une arme.
Ce n'est pas une attaque de hacker, mais une "attaque de conformité" contre les règles du système. Les attaquants ont utilisé la logique de calcul, les processus d'algorithme et les mécanismes de gestion des risques publiés par la plateforme pour créer une "attaque sans code" d'une grande destructivité pour le marché et les traders. Le prix de marque, qui aurait dû servir de point d'ancrage "neutre et sûr" pour le marché, est devenu une arme dans cet événement.
Cet article analysera en profondeur, à la fois sur le plan théorique et pratique, les risques systémiques du mécanisme de prix de marque sur le marché des contrats perpétuels des altcoins, et effectuera une revue détaillée de cet incident d'attaque. Cet événement a non seulement révélé la vulnérabilité structurelle de la conception des oracles et la nature à double tranchant des pools de liquidité innovants, mais a également mis en lumière l'asymétrie inhérente à la protection des fonds des utilisateurs par la logique de liquidation actuelle en période de marché extrême.
Première partie : Le paradoxe central des contrats à terme perpétuels - L'inclinaison du mécanisme de liquidation due à un faux sentiment de sécurité
1.1 prix de marque : une tendance à la liquidation causée par un jeu de consensus mal interprété comme sûr
Pour comprendre comment le prix de marque devient un point d'entrée pour les attaques, il faut d'abord décomposer sa logique de composition. Bien que les méthodes de calcul varient légèrement d'une plateforme à l'autre, le principe fondamental est hautement cohérent : un mécanisme de médiane à trois valeurs construit autour du "prix index".
Le prix d'indice (Index Price) est la pierre angulaire du prix de marque. Il ne provient pas de la bourse des dérivés elle-même, mais est calculé par la moyenne pondérée des prix de cet actif sur plusieurs plateformes de spot mainstream, dans le but de fournir un prix de référence équitable à travers les plateformes et les régions.
Une méthode typique de calcul du prix de marque est la suivante :
Prix de marque = Médiane (Prix1, Prix2, Dernier prix échangé)
L'introduction de la médiane a été conçue pour éliminer les valeurs aberrantes et améliorer la stabilité des prix. Cependant, la sécurité de ce design repose entièrement sur une hypothèse clé : le nombre de sources de données d'entrée est suffisant, la distribution est raisonnable, la liquidité est forte et difficile à manipuler de manière coordonnée.
Cependant, dans la réalité, la majorité des marchés au comptant des altcoins est extrêmement faible. Une fois qu'un attaquant peut contrôler les prix de quelques plateformes à faible liquidité, il peut "polluer" le prix de l'indice, permettant ainsi l'injection légitime de données malveillantes dans le prix de marque par le biais de formules. Cette attaque peut déclencher des liquidations massives de leviers à moindre coût, provoquant un effet domino.
En d'autres termes, le mécanisme d'agrégation est censé disperser les risques, mais dans un marché à faible liquidité, il crée plutôt une "faiblesse centralisée" contrôlable par les attaquants. Plus une plateforme de produits dérivés met l'accent sur la transparence et la prévisibilité de ses règles, plus les attaquants peuvent "exploiter les règles de manière programmée" et construire un chemin de destruction conforme.
1.2 Moteur de liquidation : le bouclier de la plateforme, mais aussi la lame
Lorsque le prix du marché évolue rapidement dans une direction défavorable, la marge des traders sera érodée par des pertes non réalisées. Une fois que la marge restante tombe en dessous du "prix de marque" (Maintenance Margin), le moteur de liquidation sera activé.
Dans ces processus, le critère de déclenchement le plus essentiel est le prix de marque (Mark price), et non le dernier prix de transaction de la plateforme elle-même. Cela signifie que, même si le prix de transaction actuel du marché n'a pas encore atteint votre ligne de liquidation, dès que ce prix de marque "invisible" est atteint, la liquidation sera immédiatement déclenchée.
Il est d'autant plus préoccupant que le mécanisme de "liquidation forcée" (ou de liquidation anticipée).
Dans de nombreux échanges, afin d'éviter le risque de liquidation, les systèmes de gestion des risques adoptent souvent des paramètres de liquidation plutôt conservateurs. Lorsque la liquidation forcée est déclenchée, même si le prix de liquidation est meilleur que le prix réel à zéro perte, la plateforme ne restitue généralement pas cette "surplus de liquidation forcée", mais l'injecte directement dans le fonds d'assurance de la plateforme. Cela conduit les traders à avoir l'illusion qu'ils ont encore des marges, mais qu'ils sont liquidés prématurément, et leur compte est directement réduit à zéro.
Ce mécanisme est particulièrement courant dans les actifs à faible liquidité. Pour couvrir leurs propres risques, les plateformes ajustent les lignes de liquidation de manière plus conservatrice, ce qui rend plus probable que les positions soient « liquidées à l'avance » lors des fluctuations de prix. La logique est raisonnable, mais le résultat crée un léger décalage dans les positions d'intérêt des plateformes et des traders en cas de conditions extrêmes.
Le moteur de liquidation devrait être un outil de contrôle des risques neutre, mais en ce qui concerne l'attribution des revenus, le choix des paramètres et la logique de déclenchement, il présente une tendance à la rentabilité de la plateforme.
1.3 L'expiration du prix de marque entraîne une distorsion du moteur de liquidation.
Sous la tendance à détester les pertes sur cette plateforme, les fluctuations abruptes des prix d'indice et des prix de marque aggravent davantage le déplacement préventif (post) des liquidations forcées.
La théorie du prix de marque fournit une référence de prix équitable et résistante à la manipulation en agrégeant des données provenant de plusieurs sources et en utilisant un algorithme de médiane. Cependant, cette théorie peut s'appliquer aux actifs majeurs avec une liquidité abondante, mais son efficacité sera confrontée à de sérieux défis lorsqu'il s'agit de altcoins avec une liquidité faible et des lieux d'échange concentrés.
L'échec de la médiane : le dilemme statistique de la concentration des sources de données
Efficacité dans un grand ensemble de données : supposons qu'un indice de prix contienne 10 sources de données indépendantes et hautement liquides. Si l'une de ces sources de données présente une citation extrême pour une raison quelconque, l'algorithme de la médiane peut facilement l'identifier comme une valeur aberrante et l'ignorer, prenant la valeur médiane comme prix final, préservant ainsi la stabilité de l'indice.
Vulnérabilités dans un petit ensemble de données : maintenant, nous considérons un scénario typique de crypto-monnaie.
Scénario des trois sources de données : Si l'indice de prix de marque d'une cryptomonnaie ne contient que les prix au comptant de trois échanges (A, B, C). Dans ce cas, la médiane est le prix qui se trouve au milieu des trois prix. Si un acteur malveillant manipule simultanément les prix de deux échanges (par exemple A et B), alors peu importe à quel point le prix de C est réel, la médiane sera déterminée par les prix manipulés de A et B. Dans ce cas, la protection offerte par l'algorithme de médiane est presque nulle.
Scénario à double source de données : si l'indice ne contient que deux sources de données, la médiane est mathématiquement équivalente à la moyenne des deux prix. Dans ce cas, l'algorithme perd complètement la capacité d'éliminer les valeurs aberrantes. Toute fluctuation brutale d'une source de données se transmettra directement et sans atténuation au prix de marque.
Pour la grande majorité des altcoins, la profondeur des transactions et le nombre d'échanges sur lesquels ils sont listés sont très limités, ce qui rend leur indice de prix extrêmement susceptible de tomber dans le piège du "petit ensemble de données" mentionné ci-dessus. Ainsi, le sentiment de sécurité apporté par le "multi-sources index" revendiqué par les échanges n'est souvent qu'une illusion dans le monde des altcoins. Souvent, le dernier prix de transaction est équivalent au prix de marque.
Deuxième partie : Le dilemme des oracles : quand l'épuisement de la liquidité au comptant devient une arme
Le fondement du prix de marque est le prix indice, et la source du prix indice est l'oracle. Que ce soit CEX ou DEX, les oracles jouent un rôle de pont dans la transmission d'informations entre la chaîne et l'extérieur. Cependant, ce pont, bien qu'essentiel, est particulièrement fragile en période de faible liquidité.
2.1 Oracles : un pont fragile entre la chaîne et l'extérieur
Un système de blockchain est essentiellement fermé et déterministe, les contrats intelligents ne peuvent pas accéder de manière proactive aux données hors chaîne, telles que le prix du marché des actifs. Les oracles ont vu le jour, ils constituent un système intermédiaire chargé de transmettre des données hors chaîne de manière sécurisée et fiable sur la chaîne, fournissant ainsi des entrées d'informations "du monde réel" pour le fonctionnement des contrats intelligents.
Dans les plateformes de trading de contrats à terme perpétuels ou dans les protocoles de prêt, les données de prix fournies par les oracles constituent presque la pierre angulaire de la logique de gestion des risques. Cependant, un fait souvent négligé est qu'un oracle "honnête" ne signifie pas qu'il rapporte un prix "raisonnable". Le rôle de l'oracle est simplement d'enregistrer fidèlement l'état du monde extérieur qu'il peut observer, sans juger si le prix s'écarte des fondamentaux. Cette caractéristique révèle deux types de chemins d'attaque complètement différents :
Exploit d'Oracle : Les attaquants modifient par des moyens techniques la source de données ou le protocole de l'oracle, le poussant à signaler des prix incorrects.
Manipulation de marché : Les attaquants manipulent les marchés externes en augmentant ou en baissant délibérément les prix, tandis que les oracles fonctionnant normalement enregistrent et rapportent ce prix de marché "manipulé". Le protocole en chaîne n'a pas été piraté, mais a réagi de manière inattendue en raison d'une "contamination de l'information".
Dans ce dernier cas, c'est la substance d'un événement d'échange : ce n'est pas que l'oracle a été compromis, mais que sa "fenêtre d'observation" a été polluée.
2.2 Point d'attaque : lorsque le défaut de liquidité devient une arme
Le cœur de ce type d'attaque réside dans l'exploitation de la faiblesse de liquidité des actifs cibles sur le marché au comptant. Pour les actifs peu échangés, même de petits ordres peuvent provoquer des fluctuations de prix importantes, offrant ainsi une opportunité aux manipulateurs.
L'attaque d'une certaine plateforme d'échange en octobre 2022 peut être qualifiée de "modèle". Les attaquants ont exploité l'épuisement extrême de la liquidité de son jeton de gouvernance (avec un volume quotidien de négociation de moins de 100 000 dollars à l'époque), en investissant environ 4 millions de dollars de manière concentrée sur plusieurs plateformes d'échange, réussissant à faire grimper le prix de plus de 2300 % en très peu de temps. Ce "prix anormal" a été enregistré intégralement par l'oracle et alimenté au protocole sur la chaîne, provoquant une explosion de la limite de prêt, et a finalement "légalement" vidé tous les actifs de la plateforme (environ 116 millions de dollars).
Détails du chemin d'attaque : cinq étapes pour percer la ligne de défense du protocole
Sélection des cibles (Target Selection) : L'attaquant commence par filtrer les tokens cibles, qui répondent généralement aux critères suivants : des contrats perpétuels lancés sur une plateforme de dérivés mainstream ; le prix de l'oracle provient de plusieurs échanges au comptant connus pour leur faible liquidité ; un faible volume quotidien de transactions, un carnet de commandes clairsemé, facile à manipuler.
Acquisition de capital : La plupart des attaquants obtiennent des fonds temporaires massifs par le biais de "prêts éclair". Ce mécanisme permet d'emprunter et de rembourser des actifs en une seule transaction, sans aucune garantie, réduisant considérablement les coûts de manipulation.
Blitz du marché au comptant (Spot Market Blitz) : Les attaquants passent un grand nombre d'ordres d'achat simultanément sur toutes les bourses surveillées par l'oracle en très peu de temps. Ces ordres balaient rapidement les ordres de vente, propulsant le prix à des niveaux élevés – loin de sa valeur réelle.
Pollution des oracles (Oracle Contamination) : Les oracles lisent fidèlement les prix des bourses manipulées mentionnées ci-dessus. Même en utilisant des mécanismes de résistance à la volatilité tels que la médiane ou la moyenne pondérée, il est difficile de résister à une manipulation multi-sources simultanée. Le prix de l'indice obtenu est donc gravement contaminé.
Infection du prix de marque (Mark Price Infection) : un prix d'indice contaminé entre sur la plateforme de produits dérivés, affectant le calcul du prix de marque. Le moteur de liquidation évalue à tort la plage de risque, déclenchant une "liquidation" à grande échelle, entraînant des pertes énormes pour les traders, tandis que les attaquants peuvent réaliser des arbitrages par le biais de positions inversées ou d'opérations de prêt.
"Manuel de guerre" des attaquants : une épée à double tranchant de la transparence
Que ce soit pour les CEX ou les protocoles DEX, il est courant de valoriser la "transparence open source" en rendant publiques les détails concernant leur mécanisme d'oracle, le poids des sources de données, la fréquence de mise à jour des prix, etc., dans le but d'établir la confiance des utilisateurs. Cependant, pour les attaquants, ces informations deviennent un "manuel" pour élaborer des plans d'attaque.
Prenons l'exemple d'une plateforme de trading, son architecture d'oracle énumère publiquement toutes les sources de données des échanges et leurs poids. Un attaquant peut donc calculer avec précision combien de fonds investir dans chaque échange avec la liquidité la plus faible, afin de déformer au maximum l'indice pondéré final. Ce type d'"ingénierie algorithmique" rend l'attaque contrôlable, prévisible et minimise les coûts.
Les mathématiques sont simples, mais les gens sont complexes.
Troisième partie : Champ de chasse — Analyse des risques structurels d'une plateforme de trading
Après avoir compris le principe de l'attaque, l'"attaquant" doit ensuite choisir le "champ de bataille" approprié pour mener à bien son attaque - une certaine plateforme de trading. Bien que la manipulation des oracles soit une méthode d'attaque courante, c'est cette fois-ci que cet événement a pu se produire.