在流动性匮乏和宏观下行的现在,虎口夺食和套利零和博弈成为资金在短期内最好的盈利方式。
而套利思维一方面可以给到市场更好的价格发现机制,在不同的流动性市场磨平价差,提供流动性深度等。或者是针对稳定币不合理的补贴做循环贷的套利。
但是以上只是赚取被动收益的高年化策略,但是另一种套利思维盯上了今年最大的流动性博弈战场Perp DEX。
他们盯上的不仅仅是在交易中的点差或者是价差,而是Perp DEX中的LP底池的所有资金,若有规则上可套利的机会,若是有套利型的攻击,则可以获得LP的绝大多数资金,从而实现“干一发躺一生”的套利机遇。
这好比一个小弟跟着大哥混,一开始跟大哥做事情搞点零花钱,但是由于一种特殊的套利的机会想要把大哥所有的家产都夺走。
而区块链又是法外之地,大哥又是离岸人士,小弟原本以为套利一发就能跑路,没想到大哥直接拔了网线,把套利走的钱又捞回来了绝大部分。
(映射指出Hypeliquity并非是他们所标榜的去中心化)
那么这种机制为什么会出现,小弟是如何套利大哥的,大哥又该如何优化风控策略,这个是文章想要探讨的点。
一、 猎杀时刻:Jelly Jelly 击穿 Hypeliquity 的机制还原
Jelly Jelly 对 Hypeliquity 的攻击,实质上是 DeFi 衍生品风控领域一次关于流动性错配的极限压力测试。这并非基于智能合约漏洞的代码层攻击,而是一次针对全局共享流动性(HLP)模型系统性缺陷的金融工程套利。
HLP 模型的设计初衷是通过混合存储 USDC、BTC 和 ETH 来最大化资金效率,为全平台资产提供统一对手盘。然而,这种旨在消除流动性碎片化的机制,在面临长尾资产的极端非理性波动时,暴露了无法通过算法对冲的系统性敞口。
攻击始于二级市场的隐秘吸筹与垄断。攻击者避开了深度充裕的主流资产,精准锁定了流动性枯竭的长尾标的 $JELLY。
链上数据显示,在攻击发动前,攻击者已在二级市场完成了约 10% 代币总供应量的吸筹。在缺乏做市商维护的低流动性市场,控制 10% 的流通盘等同于掌握了卖方流动性的定价权。
随后,根据 Blockworks 的复盘,攻击者在链上建立了针对该资产的巨额多头头寸。由于 HLP 池无法识别单一资产的集中度风险,它被动地成为了这些激进头寸的对手盘,在毫无察觉中承接了巨大的定向风险。
随之而来的是针对现货价格的暴力拉升。攻击者利用囤积的筹码,在现货市场制造了剧烈的流动性挤压。
Halborn 的审计数据显示,在攻击窗口期内,$JELLY 现货价格录得 429% 的异常涨幅。由于协议高度依赖预言机喂价,链上合约价格忠实锚定了这一被操纵的曲线。对于作为对手盘的 LP 而言,这意味着在极短时间内面临超过 4 倍的未实现亏损。
价格的剧烈偏离最终触发了协议的连环清算机制,但在底层现货深度严重不足的情况下,这些清算单无法成交,直接转化为系统坏账。Oak Research 数据证实,该次事件直接导致 Hypeliquity 产生 620 万美元的坏账损失。
面对穿仓风险,团队被迫执行强制结算,这种中心化干预虽然阻断了损失蔓延,却也破坏了协议的去中心化假设。
相比于账面上的资金损失,市场信心的重创引发了更为严重的次生灾害。事件发生后,Monolith VC 监测到 Hypeliquity 的 TVL 在短时间内流失约 2 亿美元,平台代币 $HYPE 亦随之剧烈回调。
究其根本,Hypeliquity 防御失效的核心在于资产端的杠杆错配:协议错误地允许用户利用亿级美元规模的 HLP 池作为对手盘,去博弈一个仅有十万级深度的浅水资产。
当单一实体通过现货操纵驱动了 429% 的价格偏差时,共享池模型在数学期望上已然失效,无法通过自动化的做市算法消化这一非对称冲击。
此次事件最令人深思的并非单纯的资金损失,而是亏损的承担逻辑。
在 Hypeliquity 的机制下,这笔坏账并非由 $JELLY 的交易者独立承担,而是由整个 HLP 池——包括 BTC、ETH 和 USDC 的存款人共同分摊。
这种风险传染性是单池模型的原生缺陷:一个微小资产的穿仓,足以拖累整个协议的净值。这迫使行业重新审视一个核心命题:为了追求极致的资金效率,我们是否应该让主流资产的 LP 为长尾资产的波动性买单?
正是这一关于“单池效率”与“隔离安全”的博弈,直接催生了 Perp DEX 市场向多池与混合架构转型的趋势。
二、 竞争格局:基于流动性架构与用户分层的战略原型
Jelly Jelly 事件绝非孤立的黑天鹅,它是特定市场结构演进中的必然注脚。承接上文对单池风险的探讨,若将视角拉高,结合《Perp DEX 竞争格局:战略原型》图谱,我们可以透过技术架构光谱与目标受众的二维视角,透视当前市场中三大核心阵营的博弈逻辑。
位于光谱最左端的是专业订单薄(PvMM)纯粹主义者,以 dYdX (V3+V4)、Lighter、Paradex 及 Apex Omni 为代表。这是机构与做市商的主场,其风控内核回归了金融市场的本源——价格发现完全依赖于订单薄的供需匹配。
这种架构天然免疫预言机操纵,因为攻击者若想通过拉盘获利,必须真金白银地吃掉卖单墙。然而,安全性的代价是流动性的冷启动门槛。
在缺乏做市商激励的长尾资产端,这类协议难以复刻右侧阵营那种快速上架 Meme 币的灵活性,“没有做市商就没有市场”是其无法逾越的护城河,也是其扩张的桎梏。
与之相对,占据光谱右侧的是被动资金池(PvE)阵营,代表项目包括 GMX V2、Jupiter、HoldStation 等。它们占据了收益与便捷性的高地,通过全局共享池或合成资产池,为散户提供了极致的资金效率与零滑点体验。
然而,正如前文 Jelly 案例所示,这里也是攻击的高发区。
为了追求资本效率的最大化,协议往往过度依赖预言机喂价。当长尾资产的现货流动性枯竭时,这种被动接单的机制使得 LP 池在数学上极易成为攻击者的提款机。
处于两者之间的是混合创新者,如 Hyperliquid、EdgeX、MYX Finance 与 Reya。它们试图在效率与风控之间寻找第三条道路。
Hyperliquid 与 EdgeX 采用了链上订单薄加资金库的双轨制,即主流资产走订单薄,长尾资产走金库,实现了风险的物理隔离。而 MYX Finance 则在执行层进行了微创新,虽然底层沿用了共享池,但引入了 MPM 撮合机制。
该机制优先在多空用户之间进行 PvP 内部撮合,只有未匹配的净敞口才由 LP 承担。这种先撮合、后对赌的混合逻辑,从机制源头上极大地降低了 LP 的被动风险敞口,有效缓解了尾部资产攻击的烈度。
三、 灰犀牛的凝视:静态 OI 上限的失效逻辑
在风控工程中,持仓上限常被视为阻断攻击的万能药。
然而在实战的动态博弈中,OI 上限只能限制攻击者的最大名义获利,却无法改变攻击的正期望值。即便协议将某代币的 OI 上限锁死,LP 底池依然面临着多维度的降维打击。
首先是盈亏比的数学击穿。攻击的发生与否,取决于攻击成本与潜在收益的数学不对称性。假设协议将某流动性枯竭的 Token A 的 OI 上限设定为 100 万美元。
攻击者只需计算在现货市场拉升 50% 所需的成本——若仅需 5 万美元,那么在合约端开满 100 万美元多单后,其净利润将高达 45 万美元。
只要操纵成本低于 OI 上限乘以价格涨幅,攻击在数学上就是必然发生的。OI 上限仅仅降低了单次攻击的收益天花板,并未消除攻击的动力源。
其次是 LVR 与高频毒性流的慢性失血。这是一种不需要大幅拉盘的隐蔽攻击。高频交易者利用 CEX 与链上预言机之间的毫秒级延迟进行套利。
每当 CEX 价格上扬,HFT 便抢在预言机更新前的微小窗口期在链上开多。
这种攻击无需巨大的 OI 敞口,攻击者可以在上限范围内,像白蚁一样进行成千上万次的小额必胜交易。日积月累,LP 的本金被持续抽血,表现为净值不断跑输大盘。
这种被称为损耗与再平衡损失(LVR)的现象,实则是 AMM 机制难以根除的内生性痛点。
此外,跳空缺口引发的坏账风险同样不可忽视。OI 上限限制的是开仓量,却无法限制行情的极端波动性。当黑天鹅事件发生,资产价格出现断崖式下跌时,链上清算机制往往因拥堵或滞后而失效。
清算机器人无法在价格跌破保证金线时即时平仓,导致用户的保证金归零后仍存在穿仓亏损。这部分坏账最终必须由 LP 池全额承担。在此情境下,事前的 OI 限制对于已发生的偿付危机毫无意义。
最后是隐蔽的资金费率吸血。如果协议的资金费率模型设计存在缺陷,例如对多空平衡的反应迟钝,攻击者可以利用两个账户进行对敲,占据大量 OI。
攻击者并不通过价格博弈获利,而是通过维持对冲状态,持续赚取系统发放的资金费率或代币奖励。此时,LP 的资金虽然没有在交易中亏损,却以费用的形式被不断转移。
四、 盾的进化:风控范式的迭代路径
面对日益复杂的对抗环境,头部协议的防御体系也经历了从被动到主动的代际演化。
- GMX V1 代表了被动防御的极致
其风控主要依赖动态的再平衡费用和死板的全局 OI 硬顶。这种机制通过调整铸造和销毁 GLP 的费率,试图引导套利者协助平衡池子权重。然而,这种防御在面对 Jelly 这种主动且激进的攻击时显得过于笨重与滞后,最终导致 V1 版本不得不逐步淘汰大多数高风险的长尾资产,以牺牲市场广度来换取安全性。
- GMX V2 则引入了关键的价格冲击机制
这是一个模拟订单薄深度的数学函数:用户的开仓量越大,成交价格偏离度越高。如果攻击者试图在 V2 上建立大额攻击头寸,系统会自动推高其平均持仓成本。这意味着攻击者若想获得足够的 OI 来获利,其开仓成本将呈指数级上升。这种设计从数学期望上破坏了拉盘开单的盈亏模型,构筑了更具弹性的防御纵深。
- Hyperliquid 展示了从应用层向共识层下沉的混合风控思路
在经历早期挑战后,Hyperliquid 转向了更为复杂的 L1 级别风控。首先,它将 OI 上限与标的资产的现货流通市值进行动态挂钩,而非固定数值。其次,针对低流动性资产,引入了资金费率的极速响应机制。一旦检测到多空严重失衡,资金费率可在几分钟内飙升至年化 -5000% 甚至更多,这种物理层面的资金惩罚迫使攻击者无法维持长时间的持仓,从而瓦解其时间成本优势。
- dYdX 则坚持了物理隔离的订单薄路径
这种模式本身就是一种最纯粹的风控。由于不依赖预言机定价,价格完全由买卖双方挂单决定。攻击者若想拉盘,必须真金白银地吃掉卖单墙。这种模式虽然牺牲了长尾资产的上币速度,但从根源上切断了预言机操纵的可能性,是机构级资金最信赖的避风港。
五、 结语:从“大锅饭”到精细化博弈
Jelly Jelly 事件实质上宣告了 DeFi 衍生品“一套模型通吃所有资产”时代的终结。市场正在从粗放的 TVL 竞赛,转向对资产特性与风控边界的深度重构。未来的 Perp DEX 演进将呈现出清晰的结构化特征。
在资产端,市场将不可避免地走向二元分化。BTC 和 ETH 等具有深厚现货流动性的资产,将继续沿用类 GLP 的共享池或中央限价订单薄(CLOB),以维持极致的资金效率与低滑点体验;而对于 Meme 币等高波动、低深度的长尾资产,物理隔离将成为标配。高滑点、高费率的独立 AMM 池将取代共享池,通过更高的交易摩擦成本来对冲潜在的操纵风险,确立“风险与收益对等”的定价机制。
在资金端,LP 的同质化将被打破,结构化金融的逻辑将重塑资金池。未来的协议将把 LP 凭证分层为“优先级”与“劣后级”:优先级资金仅提供 USDC 流动性,赚取相对稳定的基础借贷利率;而劣后级资金则需主动承接长尾资产的波动敞口,以本金风险博取超额的做市收益。这种机制将把风险定价权交还给市场,让专业的风险偏好资金去赚取风险溢价。
而在风控的最前线,静态的 OI 上限将不再是唯一的防线。下一代风控引擎将基于向量思维,实时监控持仓变化的“速度”与“加速度”。系统关注的重心将从“当前持仓量”转向“持仓增长率”。在这场金融工程的军备竞赛中,唯有那些能够用数学模型精确量化并隔离“流动性错配”风险的协议,才能在日益复杂的链上博弈中建立起真正的护城河。