Разбор манипуляции JELLY: что на самом деле произошло
Разбирать крупные инциденты сложно не потому, что трудно пересказать внешнюю картинку. Гораздо важнее понять механизм: почему существующий риск-менеджмент не остановил атаку, как каждый шаг развивался в пользу атакующего и какие выводы из этого должен сделать трейдер бессрочников.
В этой статье разбираем инцидент с манипуляцией JELLYJELLY (JELLY) на Hyperliquid в марте 2025 года. Фокус — не на драме вокруг события, а на логике механизма: как связка спота, перпетуалов, ликвидаций и HLP создала уязвимый контур.
Анализ основан на публичных ончейн-данных и официальных сообщениях Hyperliquid. Мы не используем неподтверждаемые суммы, личности участников или слухи.
Контекст: почему целью стал именно JELLY
Чтобы понять инцидент, сначала нужно разобраться в структуре рынка Hyperliquid. В Hyperliquid механизм ликвидаций по бессрочным контрактам тесно связан с HLP — Hyperliquid Provider vault. Когда позиция уходит в принудительную ликвидацию, но на рынке нет достаточного количества контрагентов, часть риска может пассивно перейти на HLP.
Для крупных активов такая модель обычно работает стабильнее: у них есть глубокая спотовая ликвидность, а ликвидируемые позиции быстрее находят покупателей или продавцов. Но с маленькими токенами ситуация другая. JELLY был как раз таким кейсом: тонкая спотовая ликвидность, низкий объем на рынке, но при этом доступный бессрочный контракт на Hyperliquid. В результате открытый интерес по перпам оказался несоразмерен глубине спота.
В документации Hyperliquid описывается, что HLP выступает ликвидностным бэкендом системы ликвидаций. Ключевая идея проста: в экстремальных условиях HLP может пассивно получить позицию, которую рынок не смог поглотить.
Как развивалась атака
Шаг 1. Создание позиций по обе стороны рынка
Манипуляция не была обычной схемой «просто открыть лонг» или «просто зашортить». Она использовала связь между ончейн-спотом и рынком бессрочников Hyperliquid.
Атакующий мог одновременно выстраивать позиции на рынке перпетуалов и готовить движение на споте. Главная идея такой кросс-рыночной схемы в том, что цена бессрочного контракта через funding, mark price и расчетные механизмы в итоге ориентируется на спотовую цену. Если удается повлиять на спот, можно косвенно повлиять и на условия ликвидаций в перпах.
Шаг 2. Разгон спотовой цены и запуск ликвидаций
После подготовки позиций начался разгон цены JELLY на спотовом рынке. Из-за слабой ликвидности для заметного движения цены требовался относительно небольшой объем капитала.
Когда спотовая цена резко пошла вверх, mark price бессрочного контракта Hyperliquid также начал смещаться выше. Это создало давление на шорт-позиции: часть участников начала попадать под ликвидации.
Шаг 3. Переход ликвидируемых позиций на HLP
Когда ликвидируемые шорты не нашли достаточно встречной ликвидности на рынке, риск по ним по правилам протокола перешел на HLP. В результате HLP пассивно получил значительную экспозицию по JELLY, а цена спота продолжала оставаться под давлением манипуляции.
Это был ключевой момент всей схемы. Атакующий использовал именно свойство HLP как финального контрагента в системе ликвидаций, чтобы перенести риск на vault.
Шаг 4. Экстренное вмешательство валидаторов
По мере роста бумажных убытков HLP комитет валидаторов Hyperliquid провел экстренное голосование. Было принято решение принудительно рассчитать все бессрочные контракты JELLY по определенной цене и убрать рынок из листинга.
Согласно официальным сообщениям, итоговая расчетная цена привела к тому, что HLP зафиксировал некоторый профицит. Но сам процесс вызвал широкую дискуссию в сообществе: насколько совместимо экстренное вмешательство валидаторов с идеей trustless-протокола?
Три ключевые уязвимости, которые показал инцидент
1. Листинг и требования к ликвидности не совпадали с реальным риском
На тот момент Hyperliquid позволял торговать бессрочниками на активах с низкой ликвидностью без достаточно жестких ограничений по марже и размеру позиций. Это создало пространство для манипуляции: чем больше открытый интерес и чем тоньше спот, тем дешевле сдвинуть цену и тем сильнее нагрузка на HLP.
У более зрелых perp DEX для активов с низкой капитализацией и слабой ликвидностью обычно применяются более строгие параметры: выше начальная маржа, ниже лимиты позиций, жестче контроль риска.
2. У HLP не было достаточного автоматического «предохранителя» по одному активу
Во время инцидента с JELLY у HLP не было автоматического лимита риска, который бы вовремя ограничил накопление экспозиции по одному проблемному активу. Поэтому vault быстро набрал риск, а решение пришлось принимать через ручное вмешательство валидаторов.
В других моделях риск может изолироваться по отдельным пулам или активам, чтобы манипуляция одним токеном не давила на весь общий vault. Такой подход не убирает риск полностью, но снижает вероятность системного эффекта.
3. Границы governance-вмешательства были неочевидны
Голосование валидаторов помогло остановить развитие убытков, но оставило важные вопросы: при каких условиях допустимо вмешательство, как заранее определяется расчетная цена, кто и по каким правилам принимает такие решения?
Если эти правила не закреплены на уровне протокола заранее, возникает пространство для постфактум-дискреции. Для трейдеров это отдельный риск: даже если вмешательство кажется разумным в конкретной ситуации, оно влияет на доверие к предсказуемости системы.
Что из этого должен вынести трейдер
Главный вывод JELLY-инцидента: в ончейн-деривативах риск находится не только в твоей позиции и плече. Он может быть встроен в саму рыночную инфраструктуру: в механизм ликвидаций, расчет mark price, ликвидность спота, параметры листинга и роль внутренних vault.
Перед торговлей низколиквидными перпами стоит смотреть не только на график, но и на несколько базовых признаков риска:
- насколько открытый интерес по контракту превышает реальную спотовую ликвидность;
- есть ли резкая концентрация крупных позиций у небольшого числа адресов;
- насколько тонкий стакан на споте;
- какие маржинальные требования и лимиты действуют для конкретного рынка;
- как протокол обрабатывает ликвидации в экстремальных условиях.
OneKey Perps: как сохранить запас прочности в неопределенности
JELLY показал простую вещь: даже если ты хорошо понимаешь рынок, платформенный риск полностью не исчезает. Поэтому один из базовых принципов самозащиты — не держать на торговой площадке больше средств, чем нужно для конкретной стратегии.
OneKey Perps в связке с аппаратным кошельком OneKey помогает выстроить более аккуратный рабочий процесс: основную крипту ты хранишь в среде, где приватные ключи остаются офлайн, а для торговли используешь доступ к ончейн-протоколам вроде Hyperliquid через понятный интерфейс. Операции, связанные с движением активов, требуют физического подтверждения на устройстве, что снижает риск удаленной кражи и вредоносных подписей.
Это не отменяет рыночные риски и не защищает от всех проблем конкретного протокола. Но это помогает разделить хранение капитала и торговую активность — особенно если ты работаешь с бессрочниками, плечом и волатильными активами.
Попробовать OneKey и OneKey Perps можно через onekey.so/download. Скачай приложение, подключи аппаратный кошелек и используй OneKey Perps как более контролируемый способ доступа к ончейн-торговле.
Частые вопросы
Q1: Чем инцидент JELLY отличается от обычной flash loan-атаки?
Flash loan-атаки используют атомарность одной транзакции и часто происходят в пределах одного блока. JELLY был другим типом инцидента: это кросс-рыночная манипуляция ценой, где использовалась связь между спотовой ценой и mark price бессрочного контракта. По времени и логике такая схема сложнее.
Q2: Обновил ли Hyperliquid параметры риска HLP после инцидента?
Команда после события заявляла, что будет пересматривать соответствующие механизмы. Конкретные актуальные параметры нужно проверять в последней версии официальной документации Hyperliquid. В этой статье мы не делаем предположений о настройках, которые нельзя подтвердить.
Q3: Может ли обычный пользователь заранее заметить похожий риск?
Полностью предсказать подобные события сложно. Но можно отслеживать предупреждающие сигналы: соотношение открытого интереса к спотовым объемам, глубину ликвидности, резкие движения на тонком споте и концентрацию крупных позиций у ограниченного числа адресов.
Q4: Чем HLP отличается от традиционного маркетмейкера?
Традиционный маркетмейкер может отказаться от определенного риска или изменить котировки. HLP как встроенный ликвидностный бэкенд протокола в ряде случаев принимает риск пассивно после срабатывания механизма ликвидаций. Это ключевое отличие и главный источник специфического риска HLP.
Q5: Может ли OneKey защитить от убытков из-за инцидента вроде JELLY?
OneKey не может предотвратить платформенный риск, манипуляции ценой или убытки по торговым позициям. Но он помогает отделить основные активы от горячей среды и торговых подключений. Если на платформе происходит экстремальное событие, средства в холодном хранении не подвергаются тем же операционным рискам, что активы, постоянно используемые для торговли.
Итог: разбор нужен, чтобы не повторять чужие ошибки
Ценность JELLY-инцидента не в поиске виноватых, а в том, что он наглядно показал скрытую цепочку рисков в ончейн-деривативах. Для трейдера это хороший кейс по риск-менеджменту: важно понимать не только цену входа и размер плеча, но и то, как устроена инфраструктура под сделкой.
Хранить основную крипту на аппаратном кошельке OneKey и использовать OneKey Perps для торгового доступа — практичный способ добавить независимый слой безопасности к работе с ончейн-рынками. Это не гарантия прибыли и не защита от всех рисков, но более дисциплинированный workflow для тех, кто торгует перпами всерьез.
Риск-дисклеймер: материал носит информационный характер и не является инвестиционной, финансовой или юридической рекомендацией. Торговля бессрочными контрактами связана с высоким риском и может привести к полной потере капитала. Разбор основан на публичной информации и не является ни одобрением, ни отрицательной оценкой безопасности какой-либо платформы. Всегда самостоятельно оценивай риски перед принятием решений.
