Post-mortem de la manipulation JELLY : que s’est-il vraiment passé ?

6 mai 2026

  • hyperliquid incident postmortem

  • hyperliquid postmortem

  • jelly hyperliquid postmortem

  • hyperliquid price manipulation

Revenir sur un incident majeur ne consiste pas seulement à raconter ce qui s’est vu en surface. Le plus important, c’est de comprendre les mécanismes : pourquoi les contrôles de risque n’ont-ils pas suffi ? Comment chaque étape a-t-elle pu se dérouler comme prévu par l’attaquant ? Et surtout, qu’est-ce que cet épisode change pour les traders de perpétuels ?

Dans cet article, on revient sur l’incident de manipulation JELLYJELLY (JELLY) sur Hyperliquid en mars 2025. L’objectif est de décortiquer la logique du mécanisme, pas simplement de retenir qu’« un incident a eu lieu ».

L’analyse ci-dessous s’appuie sur des données publiques on-chain et sur les communications officielles d’Hyperliquid. Elle n’inclut pas de montants précis ni d’identités de participants lorsqu’ils ne sont pas vérifiables publiquement.

Contexte : pourquoi JELLY était une cible idéale

Pour comprendre l’incident, il faut d’abord comprendre la structure de marché d’Hyperliquid. Sur Hyperliquid, le mécanisme de liquidation des contrats perpétuels est étroitement lié au coffre HLP, pour Hyperliquid Provider. Lorsqu’une position est liquidée de force et qu’il n’y a pas assez de contreparties disponibles sur le marché, le risque peut être repris passivement par le coffre HLP.

Ce système fonctionne relativement bien sur les actifs majeurs, car leur liquidité spot est profonde : les positions liquidées trouvent généralement rapidement des acheteurs ou vendeurs en face. Mais la situation est très différente pour les tokens de petite capitalisation avec de faibles volumes spot.

JELLY correspondait précisément à ce profil : une liquidité spot limitée, mais un contrat perpétuel listé sur Hyperliquid, avec un déséquilibre important entre l’open interest du perp et la profondeur du marché spot.

La documentation officielle d’Hyperliquid décrit le rôle de HLP comme un filet de liquidité pour le système de liquidation. En pratique, cela signifie que, dans des conditions extrêmes, HLP peut se retrouver exposé à des positions qu’il n’a pas choisies activement.

Déroulé de l’attaque

Étape 1 : mise en place de positions longues et courtes

La manipulation observée ne semble pas avoir été une simple stratégie directionnelle, comme un achat agressif ou une vente à découvert isolée. Elle reposait plutôt sur l’interaction entre le marché spot on-chain et le marché des perpétuels Hyperliquid.

L’attaquant a construit des positions sur le marché des perpétuels tout en intervenant sur le marché spot, afin de préparer la hausse de prix nécessaire à la suite de l’opération.

L’intérêt de ce type de manipulation cross-market est clair : le prix des perpétuels reste lié au prix spot via le mark price et les mécanismes de funding. Si tu peux influencer le prix spot d’un actif peu liquide, tu peux indirectement affecter les conditions de liquidation sur le marché perpétuel.

Étape 2 : pousser le prix spot pour déclencher des liquidations

Une fois les positions en place, l’attaquant a commencé à faire monter le prix spot de JELLY. Comme la liquidité spot était très faible, le coût nécessaire pour déplacer le prix était relativement limité, tandis que l’impact sur le prix pouvait être important.

À mesure que le prix spot augmentait rapidement, le mark price du contrat perpétuel Hyperliquid, calculé à partir du prix spot, a lui aussi été tiré vers le haut. Les participants exposés en short ont alors commencé à être liquidés.

Étape 3 : transfert du risque vers HLP

Lorsque ces positions short ont été liquidées, le marché ne disposait pas de suffisamment de contreparties pour absorber correctement le flux. Conformément aux règles du protocole, une partie du risque a donc été transférée vers le coffre HLP.

À ce moment-là, HLP s’est retrouvé passivement exposé à une importante position longue sur JELLY, alors même que le prix spot continuait d’être poussé à la hausse. Les pertes latentes du coffre ont continué à s’accroître.

C’est le cœur de l’incident : l’attaquant a exploité le fait que HLP agit comme contrepartie finale du système de liquidation. Le risque a été redirigé vers le coffre de manière mécanique.

Étape 4 : intervention d’urgence du comité de validateurs

Face à l’augmentation des pertes latentes de HLP, le comité de validateurs d’Hyperliquid a organisé un vote d’urgence. La décision a été de régler de force tous les contrats perpétuels JELLY à un prix spécifique, puis de retirer ce marché.

D’après les annonces officielles, le prix de règlement final a permis au coffre HLP d’enregistrer un excédent. Mais la procédure a déclenché un débat important dans la communauté : dans un protocole décentralisé, une intervention des validateurs pour imposer un règlement forcé est-elle compatible avec l’idéal de trustlessness ?

Les trois failles mises en évidence

1. Des critères de listing mal alignés avec la liquidité réelle

À l’époque, Hyperliquid permettait à certains actifs peu liquides d’être listés en perpétuels, sans paramètres de marge suffisamment stricts pour compenser ce risque.

Cela a créé une opportunité claire : plus l’open interest est important par rapport à la profondeur spot, plus le coût de manipulation est faible et plus la pression potentielle sur HLP est élevée.

Sur des plateformes comme dYdX, les mécanismes de listing des marchés perpétuels tendent généralement à imposer des marges initiales plus élevées et des limites de position plus basses pour les actifs à faible capitalisation ou à faible liquidité.

2. L’absence de coupe-circuit automatique pour l’exposition de HLP

Au moment de l’incident JELLY, HLP ne disposait pas d’un mécanisme automatique suffisamment clair pour plafonner l’exposition à un seul actif et déclencher un arrêt avant accumulation excessive du risque.

Résultat : le coffre a pu absorber une grande exposition en très peu de temps, jusqu’à nécessiter une intervention manuelle des validateurs.

La documentation de liquidation de GMX illustre une autre approche : isoler l’exposition des fournisseurs de liquidité par actif ou par pool, afin qu’une manipulation sur un seul token ne menace pas l’ensemble du coffre.

3. Des limites floues pour l’intervention de gouvernance

Le vote des validateurs a permis de limiter rapidement les pertes, mais plusieurs questions essentielles restaient peu cadrées à l’avance : dans quelles conditions une intervention est-elle autorisée ? Comment le prix de règlement doit-il être déterminé ? Qui définit ces paramètres ?

Quand ces réponses ne sont pas explicitement codées ou définies à l’avance, le protocole dépend davantage d’une décision discrétionnaire après coup. Cela peut fragiliser la confiance des utilisateurs, même si l’intervention vise à protéger le système.

Ce que les traders doivent retenir

OneKey Perps : garder une marge de sécurité dans un environnement incertain

Une fois que tu comprends la mécanique de l’incident JELLY, une conclusion simple s’impose : sur les marchés dérivés on-chain, éviter de laisser trop d’actifs sur une plateforme ou dans un environnement chaud reste l’un des principes de gestion du risque les plus efficaces.

OneKey Perps, combiné à un hardware wallet OneKey, permet de conserver tes actifs principaux dans un environnement où les clés privées restent hors ligne, tout en gardant un accès fluide à des protocoles on-chain comme Hyperliquid.

Chaque opération impliquant un transfert d’actifs nécessite une confirmation physique sur l’appareil. Cela réduit fortement les risques liés aux signatures malveillantes, aux compromissions à distance et aux attaques ciblant les wallets chauds.

Tu peux consulter onekey.so/download pour découvrir l’app OneKey, les appareils OneKey et utiliser OneKey Perps dans un workflow plus sécurisé.

FAQ

Q1 : Quelle est la différence entre l’incident JELLY et une attaque par flash loan classique ?

Une attaque par flash loan exploite généralement la composabilité et l’atomicité d’une seule transaction, souvent sur un seul bloc.

L’incident JELLY était différent : il s’agissait d’une manipulation cross-market, basée sur le lien entre le prix spot et le mark price d’un contrat perpétuel. L’opération s’est déroulée sur une période plus longue et avec une logique plus complexe.

Q2 : Hyperliquid a-t-il modifié les paramètres de risque de HLP après l’incident ?

L’équipe a indiqué qu’elle examinerait les mécanismes concernés. Pour les paramètres exacts et à jour, il faut se référer à la documentation officielle d’Hyperliquid. Cet article ne fait pas de spéculation sur des changements non vérifiés.

Q3 : Un utilisateur normal peut-il anticiper ce type d’incident ?

Le prévoir avec certitude est très difficile. Mais certains signaux peuvent être surveillés : le ratio entre l’open interest d’un perpétuel et le volume spot moyen du token, la profondeur réelle du carnet spot, ou encore la concentration de positions directionnelles importantes sur un petit nombre d’adresses.

Ces indicateurs ne garantissent rien, mais ils peuvent aider à repérer des marchés structurellement fragiles.

Q4 : Quelle est la différence fondamentale entre HLP et un market maker traditionnel ?

Un market maker traditionnel peut refuser de prendre certaines positions, ajuster ses limites ou se retirer d’un marché.

HLP, en tant que backstop de liquidité intégré au protocole, peut au contraire se retrouver à absorber passivement des positions après déclenchement du mécanisme de liquidation. C’est cette passivité qui constitue la source principale du risque.

Q5 : Un wallet OneKey peut-il empêcher les pertes liées à un incident de type JELLY ?

Non. OneKey ne peut pas empêcher un incident au niveau d’un protocole ou d’une plateforme.

En revanche, OneKey peut t’aider à séparer tes actifs principaux de ton environnement de trading chaud. Si une plateforme subit un événement extrême, les actifs conservés en cold storage sur ton hardware wallet ne sont pas directement exposés au même risque opérationnel.

Conclusion : faire un post-mortem pour éviter de répéter les mêmes erreurs

L’intérêt de l’incident JELLY n’est pas seulement de chercher des responsables. Sa vraie valeur est de montrer, de manière très concrète, comment certains risques peuvent émerger dans les mécanismes de dérivés on-chain.

Pour tout trader sérieux, cet épisode doit servir de cas d’étude dans la construction d’un système personnel de gestion du risque.

Conserver tes actifs principaux sur un hardware wallet OneKey et utiliser OneKey Perps pour tes opérations de trading peut t’aider à profiter de l’efficacité des marchés on-chain tout en gardant une barrière de sécurité indépendante des risques propres aux plateformes.

Avertissement sur les risques : cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement, financier, juridique ou fiscal. Le trading de contrats perpétuels comporte des risques élevés et peut entraîner la perte totale du capital engagé. Cette analyse repose sur des informations publiques et ne doit pas être interprétée comme une approbation ou une condamnation de la sécurité d’une plateforme. Évalue toujours les risques par toi-même avant de prendre une décision.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.