Phân tích sâu: Manipulation giá đánh dấu gây ra cơn bão thanh khoản trị giá hàng triệu đô la, thanh khoản không đủ trở thành điểm yếu chết người của sàn giao dịch.
Khi giá đánh dấu trở thành vũ khí: Phân tích cơn bão thanh lý liên hoàn của Hyperliquid
Vào tháng 3 năm 2025, một đồng tiền nhỏ mang tên JELLY với khối lượng giao dịch hàng ngày chưa đến 2 triệu USD đã gây ra một cơn bão thanh lý lên tới hàng chục triệu USD trên một nền tảng giao dịch. Điều gây sốc là kẻ tấn công không hề sửa đổi hợp đồng thông minh cũng như không khai thác bất kỳ lỗ hổng mã nào truyền thống, mà đã biến cơ chế an ninh cốt lõi nhất của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một cuộc "tấn công tuân thủ" đối với các quy tắc của hệ thống. Kẻ tấn công đã lợi dụng logic tính toán công khai của nền tảng, quy trình thuật toán và cơ chế quản lý rủi ro, tạo ra một cuộc "tấn công không mã" có sức tàn phá lớn đối với thị trường và các nhà giao dịch. Giá đánh dấu, vốn nên là mỏ neo "trung lập và an toàn" của thị trường, trong sự kiện này đã biến từ lá chắn thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo từ hai khía cạnh lý thuyết và thực chiến, đồng thời tiến hành phân tích chi tiết về sự kiện tấn công này. Sự kiện này không chỉ làm lộ ra sự yếu kém cấu trúc trong thiết kế oracle, tính hai lưỡi của các pool thanh khoản đổi mới, mà còn phơi bày sự không đối xứng nội tại trong việc bảo vệ vốn của người dùng của logic thanh lý hiện tại trong những tình huống cực đoan.
Phần I: Nghịch lý cốt lõi của hợp đồng vĩnh viễn - Cơ chế thanh lý nghiêng do cảm giác an toàn giả tạo
1.1 giá đánh dấu:Một trò chơi đồng thuận bị hiểu lầm là an toàn đã dẫn đến xu hướng thanh lý.
Để hiểu cách giá đánh dấu trở thành điểm tấn công, trước tiên phải phân tích logic cấu thành của nó. Mặc dù cách tính toán của các sàn giao dịch có chút khác biệt, nhưng nguyên tắc cốt lõi vẫn rất nhất quán - cơ chế trung vị ba giá trị được xây dựng xung quanh "giá chỉ số".
Giá chỉ số (Index Price) là nền tảng của giá đánh dấu. Nó không đến từ chính sàn giao dịch phái sinh, mà được tính toán thông qua giá trung bình có trọng số của nhiều nền tảng giao dịch spot chính trên tài sản đó, nhằm cung cấp một mức giá tham khảo công bằng trên nhiều nền tảng và khu vực.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung vị (Giá1, Giá2, Giá giao dịch cuối cùng)
Price1 = Giá chỉ số × (1 + Chênh lệch tỷ lệ vốn ): Định giá hợp đồng dựa trên giá chỉ số và xem xét kỳ vọng của thị trường.
Price2 = Giá chỉ số + Độ lệch trung bình động: được sử dụng để làm mượt các bất thường giá ngắn hạn.
Last Traded Price = Giá giao dịch gần nhất trên nền tảng hợp đồng phái sinh.
Việc đưa ra giá trị trung vị nhằm loại bỏ các giá trị ngoại lệ và nâng cao tính ổn định của giá cả. Tuy nhiên, tính an toàn của thiết kế này hoàn toàn dựa vào một giả thuyết then chốt: Số lượng nguồn dữ liệu đầu vào đủ lớn, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng đồng bộ.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo là rất yếu. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại vào giá đánh dấu thông qua công thức. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra hiệu ứng domino.
Nói cách khác, cơ chế tổng hợp vốn dĩ là để phân tán rủi ro, nhưng trong những thị trường có tính thanh khoản thấp, nó lại tạo ra "điểm yếu tập trung" mà kẻ tấn công có thể kiểm soát. Các nền tảng phái sinh càng nhấn mạnh tính minh bạch và khả năng dự đoán của các quy tắc, thì kẻ tấn công càng có thể "lợi dụng quy tắc theo cách lập trình", xây dựng một con đường phá hoại hợp lệ.
1.2 Công cụ thanh lý: Khiên của nền tảng, cũng là lưỡi kiếm
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị thua lỗ. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì" (Maintenance Margin), động cơ thanh lý sẽ được kích hoạt.
Trong những quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu (Mark price), chứ không phải là giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch hiện tại chưa chạm vào mức thanh lý của bạn, chỉ cần giá "không nhìn thấy" đó đạt được, thanh lý sẽ được kích hoạt ngay lập tức.
Điều đáng lo ngại hơn là cơ chế "buộc thanh lý" (hay nói cách khác là thanh toán trước).
Trong nhiều sàn giao dịch, để tránh rủi ro bị thanh lý, hệ thống quản lý rủi ro thường áp dụng các tham số thanh lý có phần bảo thủ. Khi việc thanh lý bắt buộc xảy ra, ngay cả khi giá thanh lý tốt hơn giá thực tế khiến thua lỗ về 0, nền tảng cũng thường sẽ không hoàn trả phần "lợi nhuận thanh lý" này, mà sẽ trực tiếp bơm nó vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng lại bị thanh lý trước" và tài khoản trực tiếp về 0.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng khiến vị thế bị "đóng sớm" trong những biến động giá. Lý luận này hợp lý, nhưng kết quả lại tạo ra sự lệch lạc tinh tế trong lợi ích giữa nền tảng và nhà giao dịch trong các tình huống cực đoan.
Công cụ thanh lý đáng lẽ phải là một công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân chia lợi nhuận, lựa chọn tham số và logic kích hoạt, nó lại có xu hướng mang lại lợi nhuận cho nền tảng.
1.3 Giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của công cụ thanh lý
Trên nền tảng này, xu hướng ghét thua lỗ đã làm cho giá chỉ số và giá đánh dấu biến động mạnh mẽ, càng làm trầm trọng thêm việc chuyển tiếp (lùi lại) số tiền thanh lý này.
Lý thuyết giá đánh dấu cung cấp một tiêu chuẩn giá công bằng và chống thao túng thông qua việc tổng hợp dữ liệu từ nhiều nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chính thống có tính thanh khoản cao, nhưng sẽ phải đối mặt với những thách thức nghiêm trọng về hiệu quả khi đối diện với các đồng coin không chính thống có tính thanh khoản thấp và tập trung giao dịch.
Sự thất bại của giá trị trung vị: Những khó khăn thống kê trong việc tập trung nguồn dữ liệu
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập và có tính thanh khoản cao. Nếu một trong các nguồn dữ liệu xuất hiện báo giá cực đoan vì lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó là giá trị ngoại lai và bỏ qua, lấy giá trị ở giữa làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Sự dễ bị tổn thương trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình của tiền ảo.
Ba nguồn dữ liệu tình huống: Nếu chỉ có ba sàn giao dịch (A, B, C) trong chỉ số giá đánh dấu của một đồng tiền ảo. Lúc này, giá trị trung vị là giá nằm ở giữa trong ba giá. Nếu kẻ xấu cùng lúc thao túng giá của hai sàn giao dịch (chẳng hạn như A và B), thì bất kể giá của C có chính xác đến đâu, giá trị trung vị sẽ bị quyết định bởi giá bị thao túng của A và B. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống nguồn dữ liệu kép: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, thì giá trị trung bình trong toán học tương đương với trung bình của hai giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự biến động mạnh nào của một nguồn dữ liệu sẽ trực tiếp, không suy giảm, truyền đến giá đánh dấu.
Đối với hầu hết các đồng coin không chính thống, độ sâu giao dịch và số lượng sàn giao dịch niêm yết rất hạn chế, điều này khiến cho chỉ số giá của chúng rất dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nêu. Do đó, cảm giác an toàn mà chỉ số "đa nguồn" mà các sàn giao dịch tuyên bố mang lại thường chỉ là một ảo giác trong thế giới đồng coin không chính thống. Rất nhiều lần, giá giao dịch gần nhất thường được coi là bằng với giá đánh dấu.
Phần hai: Nghịch lý của Oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có nền tảng là giá chỉ số, trong khi nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này, mặc dù quan trọng, lại rất mong manh trong thời điểm thiếu hụt thanh khoản.
2.1 Oracle: cầu nối mong manh giữa trên chuỗi và dưới chuỗi
Hệ thống blockchain về bản chất là khép kín và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Giá đánh dấu (Oracle) ra đời, nó là một hệ thống trung gian, có trách nhiệm truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy đến trên chuỗi, cung cấp đầu vào thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trong nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay, dữ liệu giá mà oracle cung cấp gần như cấu thành nền tảng cho logic quản lý rủi ro của nó. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "chân thật" không có nghĩa là nó báo cáo giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại trung thực trạng thái thế giới bên ngoài mà nó có thể quan sát, nó không đánh giá giá có sai lệch khỏi cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle (Oracle Exploit): Kẻ tấn công sử dụng các phương pháp kỹ thuật để can thiệp vào nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường (Market Manipulation): Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc đẩy giá xuống, trong khi các oracle hoạt động bình thường sẽ ghi nhận và báo cáo giá thị trường "đã bị thao túng" này. Các giao thức trên chuỗi không bị xâm nhập, nhưng do "nhiễu thông tin" mà tạo ra phản ứng không mong muốn.
Điều thứ hai, chính là bản chất của sự kiện tại một sàn giao dịch: không phải là oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
2.2 Điểm tấn công: Khi thiếu hụt thanh khoản trở thành vũ khí
Tâm điểm của loại tấn công này nằm ở việc lợi dụng sự bất lợi về tính thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với những tài sản có khối lượng giao dịch mỏng, ngay cả những lệnh nhỏ cũng có thể gây ra biến động giá mạnh, từ đó cung cấp cơ hội cho kẻ thao túng.
Cuộc tấn công vào một sàn giao dịch vào tháng 10 năm 2022 được coi là "hình mẫu". Kẻ tấn công đã tận dụng sự cạn kiệt thanh khoản cực kỳ của token quản trị của nó (khi đó doanh thu giao dịch hàng ngày chưa đến 100.000 USD), bằng cách đầu tư khoảng 4 triệu USD trên nhiều sàn giao dịch, thành công kéo giá tăng hơn 2300% trong thời gian rất ngắn. "Giá bất thường" này đã được oracle ghi lại đầy đủ và cung cấp cho các giao thức trên chuỗi, dẫn đến việc hạn mức vay mượn tăng vọt, cuối cùng "hợp pháp" rút sạch toàn bộ tài sản của nền tảng (khoảng 116 triệu USD).
Giải thích chi tiết về đường tấn công: Năm bước phá vỡ tuyến phòng thủ giao thức
Lựa chọn mục tiêu (Target Selection): Kẻ tấn công đầu tiên sẽ chọn lọc token mục tiêu, thường có các điều kiện sau: đã ra mắt hợp đồng vĩnh viễn trên một nền tảng phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, có tính thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, rất dễ bị thao túng.
Huy động vốn (Capital Acquisition): Đa số kẻ tấn công sử dụng "cho vay chớp nhoáng (Flash Loans)" để có được một lượng lớn tiền tạm thời. Cơ chế này cho phép vay mượn và trả lại tài sản trong một giao dịch duy nhất mà không cần thế chấp, giảm đáng kể chi phí thao túng.
Cuộc tấn công Thị trường giao ngay (Spot Market Blitz): Kẻ tấn công trong thời gian rất ngắn, đồng thời phát lệnh mua số lượng lớn trên tất cả các sàn giao dịch được oracle giám sát. Những lệnh này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa hơn nhiều so với giá trị thực của nó.
Ô nhiễm từ oracle (Oracle Contamination): Oracle trung thành đọc giá từ các sàn giao dịch bị thao túng ở trên, ngay cả khi sử dụng các cơ chế chống biến động như trung vị, trung bình có trọng số, cũng khó có thể chống lại sự thao túng từ nhiều nguồn cùng lúc. Cuối cùng, giá chỉ số thu được bị ô nhiễm nghiêm trọng.
Giá đánh dấu bị lây nhiễm (Mark Price Infection): Giá chỉ số bị ô nhiễm vào nền tảng phái sinh, ảnh hưởng đến cách tính giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu tổn thất nặng nề, trong khi kẻ tấn công có thể thực hiện lợi nhuận thông qua vị thế ngược hoặc thao tác vay mượn.
"Sổ tay tác chiến" của kẻ tấn công: con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường tự hào về "mã nguồn mở và minh bạch", công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất cập nhật giá và các chi tiết khác, nhằm xây dựng niềm tin của người dùng. Tuy nhiên, đối với kẻ tấn công, thông tin này lại trở thành "hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các nguồn dữ liệu sàn giao dịch và trọng số của chúng. Kẻ tấn công dựa vào đó có thể tính toán chính xác, đầu tư bao nhiêu tiền vào mỗi sàn giao dịch có tính thanh khoản yếu nhất, từ đó tối đa hóa sự méo mó của chỉ số trọng số cuối cùng. "Kỹ thuật thuật toán" này khiến cho cuộc tấn công trở nên có thể kiểm soát, có thể dự đoán và giảm thiểu chi phí.
Toán học rất đơn giản, nhưng con người thì rất phức tạp.
Phần ba: Săn bắt — Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo phải chọn một "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương pháp tấn công phổ biến, nhưng sự kiện lần này có thể xảy ra tại
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
6
Đăng lại
Chia sẻ
Bình luận
0/400
zkProofInThePudding
· 9giờ trước
Giết người không cần dao, chỉ cần chơi với giá đánh dấu là đủ.
Phân tích sâu: Manipulation giá đánh dấu gây ra cơn bão thanh khoản trị giá hàng triệu đô la, thanh khoản không đủ trở thành điểm yếu chết người của sàn giao dịch.
Khi giá đánh dấu trở thành vũ khí: Phân tích cơn bão thanh lý liên hoàn của Hyperliquid
Vào tháng 3 năm 2025, một đồng tiền nhỏ mang tên JELLY với khối lượng giao dịch hàng ngày chưa đến 2 triệu USD đã gây ra một cơn bão thanh lý lên tới hàng chục triệu USD trên một nền tảng giao dịch. Điều gây sốc là kẻ tấn công không hề sửa đổi hợp đồng thông minh cũng như không khai thác bất kỳ lỗ hổng mã nào truyền thống, mà đã biến cơ chế an ninh cốt lõi nhất của nền tảng - giá đánh dấu - thành một vũ khí.
Đây không phải là một cuộc tấn công của hacker, mà là một cuộc "tấn công tuân thủ" đối với các quy tắc của hệ thống. Kẻ tấn công đã lợi dụng logic tính toán công khai của nền tảng, quy trình thuật toán và cơ chế quản lý rủi ro, tạo ra một cuộc "tấn công không mã" có sức tàn phá lớn đối với thị trường và các nhà giao dịch. Giá đánh dấu, vốn nên là mỏ neo "trung lập và an toàn" của thị trường, trong sự kiện này đã biến từ lá chắn thành lưỡi dao.
Bài viết này sẽ phân tích sâu về rủi ro hệ thống của cơ chế giá đánh dấu trong thị trường hợp đồng vĩnh viễn của các đồng tiền ảo từ hai khía cạnh lý thuyết và thực chiến, đồng thời tiến hành phân tích chi tiết về sự kiện tấn công này. Sự kiện này không chỉ làm lộ ra sự yếu kém cấu trúc trong thiết kế oracle, tính hai lưỡi của các pool thanh khoản đổi mới, mà còn phơi bày sự không đối xứng nội tại trong việc bảo vệ vốn của người dùng của logic thanh lý hiện tại trong những tình huống cực đoan.
Phần I: Nghịch lý cốt lõi của hợp đồng vĩnh viễn - Cơ chế thanh lý nghiêng do cảm giác an toàn giả tạo
1.1 giá đánh dấu:Một trò chơi đồng thuận bị hiểu lầm là an toàn đã dẫn đến xu hướng thanh lý.
Để hiểu cách giá đánh dấu trở thành điểm tấn công, trước tiên phải phân tích logic cấu thành của nó. Mặc dù cách tính toán của các sàn giao dịch có chút khác biệt, nhưng nguyên tắc cốt lõi vẫn rất nhất quán - cơ chế trung vị ba giá trị được xây dựng xung quanh "giá chỉ số".
Giá chỉ số (Index Price) là nền tảng của giá đánh dấu. Nó không đến từ chính sàn giao dịch phái sinh, mà được tính toán thông qua giá trung bình có trọng số của nhiều nền tảng giao dịch spot chính trên tài sản đó, nhằm cung cấp một mức giá tham khảo công bằng trên nhiều nền tảng và khu vực.
Một cách tính giá đánh dấu điển hình như sau:
Giá đánh dấu = Trung vị (Giá1, Giá2, Giá giao dịch cuối cùng)
Việc đưa ra giá trị trung vị nhằm loại bỏ các giá trị ngoại lệ và nâng cao tính ổn định của giá cả. Tuy nhiên, tính an toàn của thiết kế này hoàn toàn dựa vào một giả thuyết then chốt: Số lượng nguồn dữ liệu đầu vào đủ lớn, phân bố hợp lý, tính thanh khoản cao và khó bị thao túng đồng bộ.
Tuy nhiên, trong thực tế, thị trường giao ngay của hầu hết các đồng tiền ảo là rất yếu. Một khi kẻ tấn công có thể kiểm soát giá của một vài nền tảng có thanh khoản thấp, họ có thể "ô nhiễm" giá chỉ số, từ đó hợp pháp tiêm dữ liệu độc hại vào giá đánh dấu thông qua công thức. Cuộc tấn công này có thể kích hoạt thanh lý đòn bẩy quy mô lớn với chi phí tối thiểu, gây ra hiệu ứng domino.
Nói cách khác, cơ chế tổng hợp vốn dĩ là để phân tán rủi ro, nhưng trong những thị trường có tính thanh khoản thấp, nó lại tạo ra "điểm yếu tập trung" mà kẻ tấn công có thể kiểm soát. Các nền tảng phái sinh càng nhấn mạnh tính minh bạch và khả năng dự đoán của các quy tắc, thì kẻ tấn công càng có thể "lợi dụng quy tắc theo cách lập trình", xây dựng một con đường phá hoại hợp lệ.
1.2 Công cụ thanh lý: Khiên của nền tảng, cũng là lưỡi kiếm
Khi giá thị trường biến động nhanh theo hướng bất lợi, ký quỹ của nhà giao dịch sẽ bị thua lỗ. Một khi ký quỹ còn lại giảm xuống dưới "tỷ lệ ký quỹ duy trì" (Maintenance Margin), động cơ thanh lý sẽ được kích hoạt.
Trong những quy trình này, tiêu chuẩn kích hoạt cốt lõi nhất là giá đánh dấu (Mark price), chứ không phải là giá giao dịch mới nhất của nền tảng. Điều này có nghĩa là, ngay cả khi giá giao dịch hiện tại chưa chạm vào mức thanh lý của bạn, chỉ cần giá "không nhìn thấy" đó đạt được, thanh lý sẽ được kích hoạt ngay lập tức.
Điều đáng lo ngại hơn là cơ chế "buộc thanh lý" (hay nói cách khác là thanh toán trước).
Trong nhiều sàn giao dịch, để tránh rủi ro bị thanh lý, hệ thống quản lý rủi ro thường áp dụng các tham số thanh lý có phần bảo thủ. Khi việc thanh lý bắt buộc xảy ra, ngay cả khi giá thanh lý tốt hơn giá thực tế khiến thua lỗ về 0, nền tảng cũng thường sẽ không hoàn trả phần "lợi nhuận thanh lý" này, mà sẽ trực tiếp bơm nó vào quỹ bảo hiểm của nền tảng. Điều này dẫn đến việc các trader có cảm giác "rõ ràng vẫn còn ký quỹ, nhưng lại bị thanh lý trước" và tài khoản trực tiếp về 0.
Cơ chế này đặc biệt phổ biến trong các tài sản có tính thanh khoản thấp. Để tự bảo vệ rủi ro, nền tảng sẽ điều chỉnh mức thanh lý trở nên bảo thủ hơn, do đó dễ dàng khiến vị thế bị "đóng sớm" trong những biến động giá. Lý luận này hợp lý, nhưng kết quả lại tạo ra sự lệch lạc tinh tế trong lợi ích giữa nền tảng và nhà giao dịch trong các tình huống cực đoan.
Công cụ thanh lý đáng lẽ phải là một công cụ kiểm soát rủi ro trung lập, nhưng trong việc phân chia lợi nhuận, lựa chọn tham số và logic kích hoạt, nó lại có xu hướng mang lại lợi nhuận cho nền tảng.
1.3 Giá đánh dấu bị mất hiệu lực dẫn đến sự méo mó của công cụ thanh lý
Trên nền tảng này, xu hướng ghét thua lỗ đã làm cho giá chỉ số và giá đánh dấu biến động mạnh mẽ, càng làm trầm trọng thêm việc chuyển tiếp (lùi lại) số tiền thanh lý này.
Lý thuyết giá đánh dấu cung cấp một tiêu chuẩn giá công bằng và chống thao túng thông qua việc tổng hợp dữ liệu từ nhiều nguồn và thuật toán trung vị. Tuy nhiên, lý thuyết này có thể đúng khi áp dụng cho các tài sản chính thống có tính thanh khoản cao, nhưng sẽ phải đối mặt với những thách thức nghiêm trọng về hiệu quả khi đối diện với các đồng coin không chính thống có tính thanh khoản thấp và tập trung giao dịch.
Sự thất bại của giá trị trung vị: Những khó khăn thống kê trong việc tập trung nguồn dữ liệu
Tính hiệu quả trong tập dữ liệu lớn: Giả sử một chỉ số giá bao gồm 10 nguồn dữ liệu độc lập và có tính thanh khoản cao. Nếu một trong các nguồn dữ liệu xuất hiện báo giá cực đoan vì lý do nào đó, thuật toán trung vị có thể dễ dàng nhận diện nó là giá trị ngoại lai và bỏ qua, lấy giá trị ở giữa làm giá cuối cùng, từ đó duy trì sự ổn định của chỉ số.
Sự dễ bị tổn thương trong tập dữ liệu nhỏ: Bây giờ, chúng ta xem xét một kịch bản điển hình của tiền ảo.
Ba nguồn dữ liệu tình huống: Nếu chỉ có ba sàn giao dịch (A, B, C) trong chỉ số giá đánh dấu của một đồng tiền ảo. Lúc này, giá trị trung vị là giá nằm ở giữa trong ba giá. Nếu kẻ xấu cùng lúc thao túng giá của hai sàn giao dịch (chẳng hạn như A và B), thì bất kể giá của C có chính xác đến đâu, giá trị trung vị sẽ bị quyết định bởi giá bị thao túng của A và B. Lúc này, tác dụng bảo vệ của thuật toán trung vị gần như bằng không.
Tình huống nguồn dữ liệu kép: Nếu chỉ có hai nguồn dữ liệu trong chỉ số, thì giá trị trung bình trong toán học tương đương với trung bình của hai giá. Trong trường hợp này, thuật toán hoàn toàn mất khả năng loại bỏ các giá trị ngoại lệ. Bất kỳ sự biến động mạnh nào của một nguồn dữ liệu sẽ trực tiếp, không suy giảm, truyền đến giá đánh dấu.
Đối với hầu hết các đồng coin không chính thống, độ sâu giao dịch và số lượng sàn giao dịch niêm yết rất hạn chế, điều này khiến cho chỉ số giá của chúng rất dễ rơi vào cái bẫy "tập dữ liệu nhỏ" đã nêu. Do đó, cảm giác an toàn mà chỉ số "đa nguồn" mà các sàn giao dịch tuyên bố mang lại thường chỉ là một ảo giác trong thế giới đồng coin không chính thống. Rất nhiều lần, giá giao dịch gần nhất thường được coi là bằng với giá đánh dấu.
Phần hai: Nghịch lý của Oracle: Khi thanh khoản giao ngay cạn kiệt trở thành vũ khí
Giá đánh dấu có nền tảng là giá chỉ số, trong khi nguồn gốc của giá chỉ số là từ oracle. Dù là CEX hay DEX, oracle đảm nhận vai trò cầu nối giữa thông tin trên chuỗi và ngoài chuỗi. Tuy nhiên, cây cầu này, mặc dù quan trọng, lại rất mong manh trong thời điểm thiếu hụt thanh khoản.
2.1 Oracle: cầu nối mong manh giữa trên chuỗi và dưới chuỗi
Hệ thống blockchain về bản chất là khép kín và xác định, hợp đồng thông minh không thể chủ động truy cập dữ liệu ngoài chuỗi, chẳng hạn như giá thị trường của tài sản. Giá đánh dấu (Oracle) ra đời, nó là một hệ thống trung gian, có trách nhiệm truyền tải dữ liệu ngoài chuỗi một cách an toàn và đáng tin cậy đến trên chuỗi, cung cấp đầu vào thông tin "thế giới thực" cho hoạt động của hợp đồng thông minh.
Trong nền tảng giao dịch hợp đồng vĩnh viễn hoặc các giao thức cho vay, dữ liệu giá mà oracle cung cấp gần như cấu thành nền tảng cho logic quản lý rủi ro của nó. Tuy nhiên, một thực tế thường bị bỏ qua là: một oracle "chân thật" không có nghĩa là nó báo cáo giá "hợp lý". Trách nhiệm của oracle chỉ là ghi lại trung thực trạng thái thế giới bên ngoài mà nó có thể quan sát, nó không đánh giá giá có sai lệch khỏi cơ bản hay không. Đặc điểm này tiết lộ hai loại con đường tấn công hoàn toàn khác nhau:
Tấn công oracle (Oracle Exploit): Kẻ tấn công sử dụng các phương pháp kỹ thuật để can thiệp vào nguồn dữ liệu hoặc giao thức của oracle, khiến nó báo cáo giá sai.
Thao túng thị trường (Market Manipulation): Kẻ tấn công thông qua việc thao tác thực tế trên thị trường bên ngoài, cố ý kéo giá lên hoặc đẩy giá xuống, trong khi các oracle hoạt động bình thường sẽ ghi nhận và báo cáo giá thị trường "đã bị thao túng" này. Các giao thức trên chuỗi không bị xâm nhập, nhưng do "nhiễu thông tin" mà tạo ra phản ứng không mong muốn.
Điều thứ hai, chính là bản chất của sự kiện tại một sàn giao dịch: không phải là oracle bị tấn công, mà là "cửa sổ quan sát" của nó bị ô nhiễm.
2.2 Điểm tấn công: Khi thiếu hụt thanh khoản trở thành vũ khí
Tâm điểm của loại tấn công này nằm ở việc lợi dụng sự bất lợi về tính thanh khoản của tài sản mục tiêu trên thị trường giao ngay. Đối với những tài sản có khối lượng giao dịch mỏng, ngay cả những lệnh nhỏ cũng có thể gây ra biến động giá mạnh, từ đó cung cấp cơ hội cho kẻ thao túng.
Cuộc tấn công vào một sàn giao dịch vào tháng 10 năm 2022 được coi là "hình mẫu". Kẻ tấn công đã tận dụng sự cạn kiệt thanh khoản cực kỳ của token quản trị của nó (khi đó doanh thu giao dịch hàng ngày chưa đến 100.000 USD), bằng cách đầu tư khoảng 4 triệu USD trên nhiều sàn giao dịch, thành công kéo giá tăng hơn 2300% trong thời gian rất ngắn. "Giá bất thường" này đã được oracle ghi lại đầy đủ và cung cấp cho các giao thức trên chuỗi, dẫn đến việc hạn mức vay mượn tăng vọt, cuối cùng "hợp pháp" rút sạch toàn bộ tài sản của nền tảng (khoảng 116 triệu USD).
Giải thích chi tiết về đường tấn công: Năm bước phá vỡ tuyến phòng thủ giao thức
Lựa chọn mục tiêu (Target Selection): Kẻ tấn công đầu tiên sẽ chọn lọc token mục tiêu, thường có các điều kiện sau: đã ra mắt hợp đồng vĩnh viễn trên một nền tảng phái sinh chính; giá oracle đến từ một vài sàn giao dịch giao ngay đã biết, có tính thanh khoản yếu; khối lượng giao dịch hàng ngày thấp, sổ lệnh thưa thớt, rất dễ bị thao túng.
Huy động vốn (Capital Acquisition): Đa số kẻ tấn công sử dụng "cho vay chớp nhoáng (Flash Loans)" để có được một lượng lớn tiền tạm thời. Cơ chế này cho phép vay mượn và trả lại tài sản trong một giao dịch duy nhất mà không cần thế chấp, giảm đáng kể chi phí thao túng.
Cuộc tấn công Thị trường giao ngay (Spot Market Blitz): Kẻ tấn công trong thời gian rất ngắn, đồng thời phát lệnh mua số lượng lớn trên tất cả các sàn giao dịch được oracle giám sát. Những lệnh này nhanh chóng quét sạch các lệnh bán, đẩy giá lên cao - xa hơn nhiều so với giá trị thực của nó.
Ô nhiễm từ oracle (Oracle Contamination): Oracle trung thành đọc giá từ các sàn giao dịch bị thao túng ở trên, ngay cả khi sử dụng các cơ chế chống biến động như trung vị, trung bình có trọng số, cũng khó có thể chống lại sự thao túng từ nhiều nguồn cùng lúc. Cuối cùng, giá chỉ số thu được bị ô nhiễm nghiêm trọng.
Giá đánh dấu bị lây nhiễm (Mark Price Infection): Giá chỉ số bị ô nhiễm vào nền tảng phái sinh, ảnh hưởng đến cách tính giá đánh dấu. Công cụ thanh lý đánh giá sai khoảng rủi ro, kích hoạt "thanh lý" quy mô lớn, nhà giao dịch chịu tổn thất nặng nề, trong khi kẻ tấn công có thể thực hiện lợi nhuận thông qua vị thế ngược hoặc thao tác vay mượn.
"Sổ tay tác chiến" của kẻ tấn công: con dao hai lưỡi của tính minh bạch
Dù là CEX hay DEX, các giao thức thường tự hào về "mã nguồn mở và minh bạch", công khai cơ chế oracle, trọng số nguồn dữ liệu, tần suất cập nhật giá và các chi tiết khác, nhằm xây dựng niềm tin của người dùng. Tuy nhiên, đối với kẻ tấn công, thông tin này lại trở thành "hướng dẫn" để lập kế hoạch tấn công.
Lấy một nền tảng giao dịch làm ví dụ, kiến trúc oracle của nó công khai liệt kê tất cả các nguồn dữ liệu sàn giao dịch và trọng số của chúng. Kẻ tấn công dựa vào đó có thể tính toán chính xác, đầu tư bao nhiêu tiền vào mỗi sàn giao dịch có tính thanh khoản yếu nhất, từ đó tối đa hóa sự méo mó của chỉ số trọng số cuối cùng. "Kỹ thuật thuật toán" này khiến cho cuộc tấn công trở nên có thể kiểm soát, có thể dự đoán và giảm thiểu chi phí.
Toán học rất đơn giản, nhưng con người thì rất phức tạp.
Phần ba: Săn bắt — Phân tích rủi ro cấu trúc của một nền tảng giao dịch
Sau khi hiểu được nguyên lý tấn công, "kẻ tấn công" tiếp theo phải chọn một "chiến trường" phù hợp để thực hiện - một nền tảng giao dịch nào đó. Mặc dù thao túng oracle là một phương pháp tấn công phổ biến, nhưng sự kiện lần này có thể xảy ra tại