Profundidade de análise: a manipulação do preço de marca provoca uma tempestade de liquidações na ordem de milhões de dólares. A falta de liquidez torna-se o ponto fraco fatal do exchange.
Quando o preço de marca se torna uma arma: Análise da tempestade de liquidações em cadeia da Hyperliquid
Em março de 2025, uma pequena moeda chamada JELLY, com um volume de negociação diário inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação de dezenas de milhões de dólares em uma plataforma de negociação. O mais surpreendente é que o atacante não alterou o contrato inteligente nem explorou falhas tradicionais de código, mas transformou o mecanismo de segurança mais central da plataforma — preço de marca — em uma arma.
Isto não foi um ataque de hackers, mas uma "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica computacional, os processos algorítmicos e os mecanismos de controle de risco divulgados pela plataforma, criando um "ataque sem código" que se revelou extremamente devastador para o mercado e os traders. O preço de marca, que deveria servir como um âncora de "neutralidade e segurança" no mercado, transformou-se, neste evento, de um escudo em uma lâmina.
Este artigo irá analisar, a partir de duas perspectivas, teórica e prática, os riscos sistémicos do mecanismo de preço de marca no mercado de contratos perpétuos de altcoins, e fará uma análise detalhada deste evento de ataque. Este evento não só revelou a fragilidade estrutural do design de oráculos, como também a natureza de faca de dois gumes das pools de liquidez inovadoras, além de expor a assimetria inerente à proteção dos fundos dos usuários pela lógica de liquidação predominante em condições extremas.
Primeira Parte: O Paradoxo Central dos Contratos Perpétuos - O Desvio do Mecanismo de Liquidação Causado pela Falsa Sensação de Segurança
1.1 preço de marca:uma tendência de liquidação trazida por um jogo de consenso que se pensava seguro
Para entender como o preço de marca se torna um ponto de ataque, é primeiro necessário desmontar a lógica de sua construção. Embora a forma de cálculo varie ligeiramente entre as diferentes exchanges, seu princípio central é altamente consistente - um mecanismo de mediana de três valores construído em torno do "preço índice".
O preço do índice (Index Price) é a base do preço de marca. Ele não vem da própria bolsa de derivativos, mas é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot mainstream, com a intenção de fornecer um preço de referência justo que seja cross-platform e cross-regional.
Uma forma típica de cálculo do preço de marca é a seguinte:
Preço de Marca = Mediana (Preço1, Preço2, Último Preço Negociado)
Price1 = preço de marca × (1 + taxa de financiamento base ): ancorar o preço do contrato ao preço de marca e considerar as expectativas do mercado.
Price2 = preço de marca + média móvel do desvio: utilizado para suavizar anomalias de preços de curto prazo.
Último Preço de Mercado = preço de marca da plataforma de derivativos.
A introdução da mediana teve como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma hipótese chave: a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada de forma colaborativa.
No entanto, na realidade, a grande maioria dos mercados à vista de altcoins é extremamente fraca. Uma vez que os atacantes conseguem controlar os preços de algumas plataformas de baixa liquidez, podem "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através da fórmula de preço de marca. Este tipo de ataque pode provocar liquidações em grande escala com um custo mínimo, desencadeando reações em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar riscos, mas em mercados com baixa liquidez, acaba formando uma "vulnerabilidade centralizada" que pode ser controlada pelos atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e previsibilidade de suas regras, mais os atacantes conseguem "explorar as regras de forma programática" e construir um caminho de destruição em conformidade.
1.2 Motor de liquidação: o escudo da plataforma, mas também a lâmina
Quando o preço de mercado se move rapidamente em uma direção desfavorável, a margem dos traders será corroída por perdas flutuantes. Assim que a margem restante cair abaixo da "preço de marca" (Maintenance Margin), o motor de liquidação será ativado.
Nos processos, o padrão de ativação mais essencial é o preço de marca (Mark price), e não o preço de transação mais recente da própria plataforma. Isso significa que, mesmo que o preço de transação atual do mercado ainda não tenha atingido seu limite de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será imediatamente acionada.
Mais alarmante é o mecanismo de "liquidação forçada" (ou seja, liquidação antecipada).
Em muitas bolsas de valores, para evitar o risco de liquidação, os sistemas de controle de risco costumam adotar parâmetros de liquidação um tanto conservadores. Quando a liquidação for acionada, mesmo que o preço de liquidação seja superior ao preço real em que as perdas se tornam zero, a plataforma geralmente não reembolsa essa parte do "excedente de liquidação", mas sim a injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a ter a impressão de que "ainda há margem, mas estão sendo liquidadas antecipadamente", resultando em uma conta que vai diretamente a zero.
Esse mecanismo é especialmente comum em ativos com baixa liquidez. Para se proteger de riscos, as plataformas tendem a ajustar a linha de liquidação de forma mais conservadora, o que facilita que as posições sejam "liquidadas antecipadamente" em meio a flutuações de preço. A lógica é razoável, mas o resultado provoca uma sutil desarmonia nos interesses das plataformas e dos traders em cenários extremos.
O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas nas questões de atribuição de rendimento, seleção de parâmetros e lógica de ativação, apresenta uma tendência à lucratividade da plataforma.
1.3 A perda de validade do preço de marca leva à distorção do motor de liquidação
Neste contexto de aversão à perda nesta plataforma, a volatilidade acentuada do preço do índice e do preço de marca exacerba ainda mais o deslocamento forçado do dinheiro de liquidação (anterior ou posterior).
A teoria do preço de marca fornece uma referência de preço justa e resistente à manipulação através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos de grande liquidez, mas sua eficácia enfrentará sérios desafios quando confrontada com altcoins de baixa liquidez e mercados concentrados.
Falha da mediana: o dilema estatístico da concentração de fontes de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo da mediana consegue facilmente identificá-la como um valor discrepante e ignorá-la, tomando o valor médio como o preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em pequenos conjuntos de dados: Agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: Se o índice de preço de marca de uma criptomoeda incluir apenas os preços spot de três bolsas (A, B, C). Nesse caso, a mediana é o preço que está no meio dos três. Se um agente malicioso manipular simultaneamente os preços de duas dessas bolsas (por exemplo, A e B), então não importa quão realista seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a proteção oferecida pelo algoritmo da mediana é quase zero.
Cenário de duas fontes de dados: se o índice contém apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma fonte de dados será transmitida diretamente, sem atenuação, para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas em que estão listadas são muito limitados, o que faz com que o índice de preços delas caia facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Assim, a sensação de segurança trazida pelo "índice multissource" reivindicado pelas bolsas, muitas vezes, é apenas uma ilusão no mundo das altcoins. Muitas vezes, o preço mais recente de transação é frequentemente igual ao preço de marca.
Segunda Parte: O Dilema do Oráculo: Quando a Liquidez à Vista se Torna uma Arma
O preço de marca é baseado no preço índice, e a origem do preço índice é o oráculo. Seja em CEX ou DEX, o oráculo desempenha o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora esta ponte seja crucial, ela é extraordinariamente frágil em tempos de escassez de liquidez.
2.1 Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não conseguem acessar proativamente dados externos à cadeia, como o preço de mercado dos ativos. Os oráculos surgiram para resolver isso, sendo um sistema de middleware responsável por transmitir dados fora da cadeia de forma segura e confiável para dentro da cadeia, fornecendo informações do "mundo real" para a operação dos contratos inteligentes.
Nas plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo, os dados de preços fornecidos pelos oráculos constituem quase que a pedra angular da lógica de gestão de riscos. No entanto, um fato muitas vezes ignorado é que um oráculo "honesto" não significa que ele reporta um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que pode observar; ele não julga se o preço se desvia dos fundamentos. Esta característica revela dois tipos de caminhos de ataque completamente distintos:
Exploração de oráculo (Oracle Exploit): atacantes manipulam a fonte de dados ou protocolo do oráculo por meios técnicos, fazendo com que reporte preços incorretos.
Manipulação de Mercado (Market Manipulation): atacantes operam efetivamente no mercado externo, puxando ou pressionando o preço intencionalmente, enquanto o oráculo que funciona normalmente registra e reporta esse preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas causa uma resposta não esperada devido à "contaminação de informação".
O último é a essência de um evento de uma bolsa de valores: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi contaminada.
2.2 Ponto de ataque: quando a deficiência de liquidez se torna uma arma
O cerne deste tipo de ataque reside em explorar a desvantagem de liquidez do ativo-alvo no mercado de spot. Para ativos com pouca negociação, mesmo pequenas ordens podem causar oscilações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
O ataque a uma determinada bolsa em outubro de 2022 pode ser considerado um "exemplo". Os atacantes aproveitaram a extrema falta de liquidez de seu token de governança (na época, o volume diário de negociações era inferior a 100 mil dólares), investindo cerca de 4 milhões de dólares concentradamente em várias bolsas, conseguindo aumentar o preço em mais de 2300% em um curto espaço de tempo. Este "preço anômalo" foi registrado integralmente pelo oráculo e alimentado para o protocolo on-chain, resultando em um aumento explosivo em seu limite de empréstimo, que acabou "legalmente" esvaziando todos os ativos da plataforma (cerca de 116 milhões de dólares).
Explicação detalhada do caminho de ataque: cinco passos para quebrar a linha de defesa do protocolo
Seleção de Alvo (Target Selection): O atacante primeiro seleciona tokens-alvo, que geralmente têm as seguintes características: foram lançados contratos perpétuos em uma plataforma de derivados mainstream; o preço do oráculo vem de várias bolsas de spot conhecidas e com baixa liquidez; volume diário de negociação baixo, livro de ordens esparso, facilmente manipulável.
Aquisição de Capital (Capital Acquisition): A maioria dos atacantes obtém enormes quantias de dinheiro temporário através de "Empréstimos Relâmpago (Flash Loans)". Este mecanismo permite tomar emprestado e devolver ativos numa única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
Blitz do Mercado à Vista (Spot Market Blitz): O atacante em um curto espaço de tempo, em todas as bolsas monitoradas pelo oráculo, faz uma grande quantidade de ordens de compra simultaneamente. Essas ordens rapidamente eliminam as ordens de venda, empurrando o preço para cima - muito longe de seu valor real.
Contaminação de Oráculo (Oracle Contamination): O oráculo lê fielmente os preços das exchanges manipuladas mencionadas acima, mesmo que utilize mecanismos de resistência à volatilidade, como a mediana ou a média ponderada, é difícil resistir à manipulação simultânea de múltiplas fontes. O preço do índice final é gravemente contaminado.
Infecção do preço de marca (Mark Price Infection): o preço índice contaminado entra na plataforma de derivados, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, desencadeando uma "liquidação" em grande escala, resultando em pesadas perdas para os traders, enquanto os atacantes podem realizar arbitragem através de posições inversas ou operações de empréstimo.
O "manual de operações" do atacante: a espada de dois gumes da transparência
Tanto os protocolos CEX quanto DEX costumam valorizar a "transparência de código aberto" como uma virtude, divulgando detalhes como seu mecanismo de oráculos, pesos das fontes de dados, frequência de atualização de preços, etc., com o objetivo de estabelecer a confiança dos usuários. No entanto, para os atacantes, essas informações se tornam um "manual" para elaborar planos de ataque.
Tomando uma plataforma de negociação como exemplo, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os seus pesos. Com base nisso, um atacante pode calcular com precisão quanto capital investir em cada bolsa com menor liquidez, a fim de distorcer ao máximo o índice ponderado final. Essa "engenharia de algoritmos" torna o ataque controlável, previsível e minimiza custos.
A matemática é muito simples, mas as pessoas são muito complexas.
Terceira Parte: Campo de Caça — Análise dos Riscos Estruturais de uma Plataforma de Negociação
Após entender os princípios do ataque, o "atacante" deve em seguida escolher o "campo de batalha" adequado para implementar - uma plataforma de negociação. Embora manipular oráculos seja uma técnica de ataque comum, o motivo pelo qual este incidente pôde ocorrer em
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
6
Repostar
Compartilhar
Comentário
0/400
zkProofInThePudding
· 9h atrás
Matar sem faca, basta brincar com o preço de marca.
Ver originalResponder0
TrustlessMaximalist
· 08-11 03:47
jelly é para matar pessoas ou uma faca
Ver originalResponder0
ImpermanentLossFan
· 08-10 15:02
Novas moedas ainda jogam contratos, são todos idiotas.
Ver originalResponder0
PanicSeller
· 08-10 14:54
mundo crypto velho idiota perdeu três anos e finalmente comprou na baixa no fundo
Ver originalResponder0
MemeTokenGenius
· 08-10 14:46
Outra oportunidade de ganhar dinheiro com trabalho duro
Profundidade de análise: a manipulação do preço de marca provoca uma tempestade de liquidações na ordem de milhões de dólares. A falta de liquidez torna-se o ponto fraco fatal do exchange.
Quando o preço de marca se torna uma arma: Análise da tempestade de liquidações em cadeia da Hyperliquid
Em março de 2025, uma pequena moeda chamada JELLY, com um volume de negociação diário inferior a 2 milhões de dólares, desencadeou uma tempestade de liquidação de dezenas de milhões de dólares em uma plataforma de negociação. O mais surpreendente é que o atacante não alterou o contrato inteligente nem explorou falhas tradicionais de código, mas transformou o mecanismo de segurança mais central da plataforma — preço de marca — em uma arma.
Isto não foi um ataque de hackers, mas uma "ataque de conformidade" às regras do sistema. Os atacantes aproveitaram a lógica computacional, os processos algorítmicos e os mecanismos de controle de risco divulgados pela plataforma, criando um "ataque sem código" que se revelou extremamente devastador para o mercado e os traders. O preço de marca, que deveria servir como um âncora de "neutralidade e segurança" no mercado, transformou-se, neste evento, de um escudo em uma lâmina.
Este artigo irá analisar, a partir de duas perspectivas, teórica e prática, os riscos sistémicos do mecanismo de preço de marca no mercado de contratos perpétuos de altcoins, e fará uma análise detalhada deste evento de ataque. Este evento não só revelou a fragilidade estrutural do design de oráculos, como também a natureza de faca de dois gumes das pools de liquidez inovadoras, além de expor a assimetria inerente à proteção dos fundos dos usuários pela lógica de liquidação predominante em condições extremas.
Primeira Parte: O Paradoxo Central dos Contratos Perpétuos - O Desvio do Mecanismo de Liquidação Causado pela Falsa Sensação de Segurança
1.1 preço de marca:uma tendência de liquidação trazida por um jogo de consenso que se pensava seguro
Para entender como o preço de marca se torna um ponto de ataque, é primeiro necessário desmontar a lógica de sua construção. Embora a forma de cálculo varie ligeiramente entre as diferentes exchanges, seu princípio central é altamente consistente - um mecanismo de mediana de três valores construído em torno do "preço índice".
O preço do índice (Index Price) é a base do preço de marca. Ele não vem da própria bolsa de derivativos, mas é calculado através da média ponderada dos preços desse ativo em várias plataformas de spot mainstream, com a intenção de fornecer um preço de referência justo que seja cross-platform e cross-regional.
Uma forma típica de cálculo do preço de marca é a seguinte:
Preço de Marca = Mediana (Preço1, Preço2, Último Preço Negociado)
A introdução da mediana teve como objetivo eliminar valores atípicos e aumentar a estabilidade dos preços. No entanto, a segurança desse design baseia-se completamente em uma hipótese chave: a quantidade de fontes de dados de entrada é suficiente, a distribuição é razoável, a liquidez é forte e é difícil de ser manipulada de forma colaborativa.
No entanto, na realidade, a grande maioria dos mercados à vista de altcoins é extremamente fraca. Uma vez que os atacantes conseguem controlar os preços de algumas plataformas de baixa liquidez, podem "contaminar" o preço do índice, injetando dados maliciosos de forma legítima através da fórmula de preço de marca. Este tipo de ataque pode provocar liquidações em grande escala com um custo mínimo, desencadeando reações em cadeia.
Em outras palavras, o mecanismo de agregação tem a intenção de dispersar riscos, mas em mercados com baixa liquidez, acaba formando uma "vulnerabilidade centralizada" que pode ser controlada pelos atacantes. Quanto mais uma plataforma de derivativos enfatiza a transparência e previsibilidade de suas regras, mais os atacantes conseguem "explorar as regras de forma programática" e construir um caminho de destruição em conformidade.
1.2 Motor de liquidação: o escudo da plataforma, mas também a lâmina
Quando o preço de mercado se move rapidamente em uma direção desfavorável, a margem dos traders será corroída por perdas flutuantes. Assim que a margem restante cair abaixo da "preço de marca" (Maintenance Margin), o motor de liquidação será ativado.
Nos processos, o padrão de ativação mais essencial é o preço de marca (Mark price), e não o preço de transação mais recente da própria plataforma. Isso significa que, mesmo que o preço de transação atual do mercado ainda não tenha atingido seu limite de liquidação, assim que aquele preço de marca "invisível" for alcançado, a liquidação será imediatamente acionada.
Mais alarmante é o mecanismo de "liquidação forçada" (ou seja, liquidação antecipada).
Em muitas bolsas de valores, para evitar o risco de liquidação, os sistemas de controle de risco costumam adotar parâmetros de liquidação um tanto conservadores. Quando a liquidação for acionada, mesmo que o preço de liquidação seja superior ao preço real em que as perdas se tornam zero, a plataforma geralmente não reembolsa essa parte do "excedente de liquidação", mas sim a injeta diretamente no fundo de seguro da plataforma. Isso leva os traders a ter a impressão de que "ainda há margem, mas estão sendo liquidadas antecipadamente", resultando em uma conta que vai diretamente a zero.
Esse mecanismo é especialmente comum em ativos com baixa liquidez. Para se proteger de riscos, as plataformas tendem a ajustar a linha de liquidação de forma mais conservadora, o que facilita que as posições sejam "liquidadas antecipadamente" em meio a flutuações de preço. A lógica é razoável, mas o resultado provoca uma sutil desarmonia nos interesses das plataformas e dos traders em cenários extremos.
O motor de liquidação deveria ser uma ferramenta de controle de risco neutra, mas nas questões de atribuição de rendimento, seleção de parâmetros e lógica de ativação, apresenta uma tendência à lucratividade da plataforma.
1.3 A perda de validade do preço de marca leva à distorção do motor de liquidação
Neste contexto de aversão à perda nesta plataforma, a volatilidade acentuada do preço do índice e do preço de marca exacerba ainda mais o deslocamento forçado do dinheiro de liquidação (anterior ou posterior).
A teoria do preço de marca fornece uma referência de preço justa e resistente à manipulação através da agregação de dados de múltiplas fontes e algoritmos de mediana. No entanto, essa teoria pode ser válida quando aplicada a ativos de grande liquidez, mas sua eficácia enfrentará sérios desafios quando confrontada com altcoins de baixa liquidez e mercados concentrados.
Falha da mediana: o dilema estatístico da concentração de fontes de dados
A eficácia em grandes conjuntos de dados: suponha que um índice de preços contenha 10 fontes de dados independentes e de alta liquidez. Se uma dessas fontes de dados apresentar uma cotação extrema por algum motivo, o algoritmo da mediana consegue facilmente identificá-la como um valor discrepante e ignorá-la, tomando o valor médio como o preço final, mantendo assim a estabilidade do índice.
Vulnerabilidades em pequenos conjuntos de dados: Agora, consideramos um cenário típico de altcoin.
Cenário de três fontes de dados: Se o índice de preço de marca de uma criptomoeda incluir apenas os preços spot de três bolsas (A, B, C). Nesse caso, a mediana é o preço que está no meio dos três. Se um agente malicioso manipular simultaneamente os preços de duas dessas bolsas (por exemplo, A e B), então não importa quão realista seja o preço de C, a mediana será determinada pelos preços manipulados de A e B. Nesse caso, a proteção oferecida pelo algoritmo da mediana é quase zero.
Cenário de duas fontes de dados: se o índice contém apenas duas fontes de dados, a mediana é matematicamente equivalente à média dos dois preços. Nesse caso, o algoritmo perde completamente a capacidade de eliminar valores atípicos. Qualquer flutuação acentuada de uma fonte de dados será transmitida diretamente, sem atenuação, para o preço de marca.
Para a grande maioria das altcoins, a profundidade de negociação e o número de bolsas em que estão listadas são muito limitados, o que faz com que o índice de preços delas caia facilmente na armadilha do "pequeno conjunto de dados" mencionado acima. Assim, a sensação de segurança trazida pelo "índice multissource" reivindicado pelas bolsas, muitas vezes, é apenas uma ilusão no mundo das altcoins. Muitas vezes, o preço mais recente de transação é frequentemente igual ao preço de marca.
Segunda Parte: O Dilema do Oráculo: Quando a Liquidez à Vista se Torna uma Arma
O preço de marca é baseado no preço índice, e a origem do preço índice é o oráculo. Seja em CEX ou DEX, o oráculo desempenha o papel de ponte na transmissão de informações entre on-chain e off-chain. No entanto, embora esta ponte seja crucial, ela é extraordinariamente frágil em tempos de escassez de liquidez.
2.1 Oráculo: a ponte frágil que conecta on-chain e off-chain
Os sistemas de blockchain são essencialmente fechados e determinísticos, e os contratos inteligentes não conseguem acessar proativamente dados externos à cadeia, como o preço de mercado dos ativos. Os oráculos surgiram para resolver isso, sendo um sistema de middleware responsável por transmitir dados fora da cadeia de forma segura e confiável para dentro da cadeia, fornecendo informações do "mundo real" para a operação dos contratos inteligentes.
Nas plataformas de negociação de contratos perpétuos ou em protocolos de empréstimo, os dados de preços fornecidos pelos oráculos constituem quase que a pedra angular da lógica de gestão de riscos. No entanto, um fato muitas vezes ignorado é que um oráculo "honesto" não significa que ele reporta um preço "razoável". A responsabilidade do oráculo é apenas registrar fielmente o estado do mundo externo que pode observar; ele não julga se o preço se desvia dos fundamentos. Esta característica revela dois tipos de caminhos de ataque completamente distintos:
Exploração de oráculo (Oracle Exploit): atacantes manipulam a fonte de dados ou protocolo do oráculo por meios técnicos, fazendo com que reporte preços incorretos.
Manipulação de Mercado (Market Manipulation): atacantes operam efetivamente no mercado externo, puxando ou pressionando o preço intencionalmente, enquanto o oráculo que funciona normalmente registra e reporta esse preço de mercado "manipulado". O protocolo on-chain não foi invadido, mas causa uma resposta não esperada devido à "contaminação de informação".
O último é a essência de um evento de uma bolsa de valores: não foi o oráculo que foi comprometido, mas sim a sua "janela de observação" que foi contaminada.
2.2 Ponto de ataque: quando a deficiência de liquidez se torna uma arma
O cerne deste tipo de ataque reside em explorar a desvantagem de liquidez do ativo-alvo no mercado de spot. Para ativos com pouca negociação, mesmo pequenas ordens podem causar oscilações de preço acentuadas, proporcionando assim uma oportunidade para os manipuladores.
O ataque a uma determinada bolsa em outubro de 2022 pode ser considerado um "exemplo". Os atacantes aproveitaram a extrema falta de liquidez de seu token de governança (na época, o volume diário de negociações era inferior a 100 mil dólares), investindo cerca de 4 milhões de dólares concentradamente em várias bolsas, conseguindo aumentar o preço em mais de 2300% em um curto espaço de tempo. Este "preço anômalo" foi registrado integralmente pelo oráculo e alimentado para o protocolo on-chain, resultando em um aumento explosivo em seu limite de empréstimo, que acabou "legalmente" esvaziando todos os ativos da plataforma (cerca de 116 milhões de dólares).
Explicação detalhada do caminho de ataque: cinco passos para quebrar a linha de defesa do protocolo
Seleção de Alvo (Target Selection): O atacante primeiro seleciona tokens-alvo, que geralmente têm as seguintes características: foram lançados contratos perpétuos em uma plataforma de derivados mainstream; o preço do oráculo vem de várias bolsas de spot conhecidas e com baixa liquidez; volume diário de negociação baixo, livro de ordens esparso, facilmente manipulável.
Aquisição de Capital (Capital Acquisition): A maioria dos atacantes obtém enormes quantias de dinheiro temporário através de "Empréstimos Relâmpago (Flash Loans)". Este mecanismo permite tomar emprestado e devolver ativos numa única transação, sem necessidade de qualquer colateral, reduzindo significativamente os custos de manipulação.
Blitz do Mercado à Vista (Spot Market Blitz): O atacante em um curto espaço de tempo, em todas as bolsas monitoradas pelo oráculo, faz uma grande quantidade de ordens de compra simultaneamente. Essas ordens rapidamente eliminam as ordens de venda, empurrando o preço para cima - muito longe de seu valor real.
Contaminação de Oráculo (Oracle Contamination): O oráculo lê fielmente os preços das exchanges manipuladas mencionadas acima, mesmo que utilize mecanismos de resistência à volatilidade, como a mediana ou a média ponderada, é difícil resistir à manipulação simultânea de múltiplas fontes. O preço do índice final é gravemente contaminado.
Infecção do preço de marca (Mark Price Infection): o preço índice contaminado entra na plataforma de derivados, afetando o cálculo do preço de marca. O motor de liquidação julga erroneamente a faixa de risco, desencadeando uma "liquidação" em grande escala, resultando em pesadas perdas para os traders, enquanto os atacantes podem realizar arbitragem através de posições inversas ou operações de empréstimo.
O "manual de operações" do atacante: a espada de dois gumes da transparência
Tanto os protocolos CEX quanto DEX costumam valorizar a "transparência de código aberto" como uma virtude, divulgando detalhes como seu mecanismo de oráculos, pesos das fontes de dados, frequência de atualização de preços, etc., com o objetivo de estabelecer a confiança dos usuários. No entanto, para os atacantes, essas informações se tornam um "manual" para elaborar planos de ataque.
Tomando uma plataforma de negociação como exemplo, a sua arquitetura de oráculo lista publicamente todas as fontes de dados das bolsas e os seus pesos. Com base nisso, um atacante pode calcular com precisão quanto capital investir em cada bolsa com menor liquidez, a fim de distorcer ao máximo o índice ponderado final. Essa "engenharia de algoritmos" torna o ataque controlável, previsível e minimiza custos.
A matemática é muito simples, mas as pessoas são muito complexas.
Terceira Parte: Campo de Caça — Análise dos Riscos Estruturais de uma Plataforma de Negociação
Após entender os princípios do ataque, o "atacante" deve em seguida escolher o "campo de batalha" adequado para implementar - uma plataforma de negociação. Embora manipular oráculos seja uma técnica de ataque comum, o motivo pelo qual este incidente pôde ocorrer em