Revue de l'attaque d'Hyperliquid : la demande est le point de départ, la justesse est le point d'arrivée

I. Festin des corbeaux

Le 26 mars, le projet Dex Hyperliquid a de nouveau été attaqué. C'est le quatrième incident de sécurité majeur qu'a subi ce projet depuis novembre dernier, et c'est sa crise la plus grave à ce jour. La méthode d'attaque est similaire à l'incident des baleines qui ont multiplié par 50 leurs positions longues sur l'ETH, mais elle est encore plus précise et violente, comme un festin de corbeaux ciblant le Dex.

Les attaquants ont choisi le jeton Meme JELLY, qui manque de liquidité sur Solana, comme point d'entrée. À neuf heures du soir, les attaquants ont déposé 3,5 millions de USDC en garantie sur la plateforme et ont ouvert une position courte de 4,08 millions de dollars en JELLY, atteignant le taux de levier maximal de la plateforme. En même temps, une adresse détenant une grande quantité de JELLY a collaboré sur le marché au comptant en vendant, ce qui a entraîné un effondrement des prix du jeton, permettant de réaliser des bénéfices sur la position courte.

Le tournant clé se produit au stade du retrait de la marge : l'attaquant retire rapidement 2,76 millions de USDC, ce qui entraîne une insuffisance de la marge des positions courtes restantes, déclenchant le mécanisme de liquidation automatique de Hyperliquid. Le fonds d'assurance de la plateforme HLP est contraint de prendre en charge cette énorme position courte sur JELLY. Par la suite, l'attaquant commence à effectuer des opérations inverses, achetant massivement du JELLY en peu de temps, ce qui entraîne une explosion de son prix par plusieurs fois, et HLP subit une perte latente de plus de 10,5 millions de dollars.

Lorsque Hyperliquid est en difficulté, certaines bourses centralisées interviennent rapidement. Deux grandes plateformes ont rapidement lancé les contrats perpétuels de JELLY dans l'heure suivant l'incident d'attaque, soupçonnées d'utiliser leur profondeur de liquidité et leur influence pour continuer à faire monter le prix du jeton, aggravant ainsi les pertes de HLP.

Au moment de la crise, le comité des validateurs de Hyperliquid a voté pour retirer le contrat perpétuel JELLY, le prix de clôture final étant fixé au prix d'ouverture de l'attaquant, HLP réalisant ainsi un bénéfice de 700 000 dollars. Dans une situation délicate, Hyperliquid a choisi de faire un pas en arrière et a personnellement retiré le "cache-sexe" décentralisé.

Deux, une plateforme de trading sur la chaîne ?

Hyperliquid, en tant que protocole de premier plan dans le domaine des contrats à terme perpétuels sur blockchain, représente 9 % du volume de transactions des contrats à l'échelle mondiale d'une grande plateforme d'échange, devançant largement les autres Dex. En comparaison, les autres plateformes Dex ne représentent qu'environ 5 %. C'est pourquoi Hyperliquid est qualifié de "plateforme de trading sur blockchain".

Cependant, ce projet Dex, établi après l'effondrement d'un certain échange de cryptomonnaie, semble rencontrer des difficultés, subissant presque une attaque majeure chaque mois, le mettant en grand danger. Voici un retour sur quelques principaux événements de sécurité :

1. Décembre 2024 : Menaces potentielles (tentatives d'attaque) Des chercheurs en sécurité ont découvert plusieurs adresses suspectes effectuant des tests de transaction sur Hyperliquid, avec une perte cumulée de plus de 700 000 dollars. Ces adresses exploitent des transactions répétées pour tester des vulnérabilités du système, ce qui pourrait préparer le terrain pour de futures attaques.

2. Janvier 2025 : Attaque à fort levier des baleines ETH Un utilisateur ouvre une position longue ETH d'une valeur de 300 millions de dollars avec un effet de levier de 50x. Après avoir réalisé un bénéfice flottant de 8 millions de dollars, il retire soudainement la majeure partie de la marge, ce qui entraîne une augmentation du prix de liquidation. Finalement, HLP est contraint de prendre en charge la position et subit une perte d'environ 4 millions de dollars.

3. 12 mars 2025 : deuxième attaque des baleines ETH Les attaquants ont de nouveau utilisé des opérations à effet de levier élevé sur le contrat ETH, entraînant des pertes supplémentaires pour le trésor HLP.

4. 26 mars 2025 : événement JELLY Comme mentionné ci-dessus.

Ces événements révèlent les problèmes de Hyperliquid concernant le mécanisme de marge, le mécanisme HLP et la limitation du nombre de validateurs.

Les projets Dex entièrement décentralisés font face à de nombreux défis : le développement des projets est souvent dirigé par une équipe centrale, le vote de gouvernance est difficile à décentraliser complètement, les personnalités connues ont du mal à renoncer à leur pouvoir d'influence et à leurs intérêts, tandis que les projets Dex, dans leur quête d'efficacité capitalistique, doivent inévitablement faire face à un compromis entre complexité et risque de centralisation.

Concernant le Dex des contrats perpétuels sur l'ensemble de la chaîne, il existe encore les problèmes suivants :

1. Les utilisateurs sont plus préoccupés par l'efficacité du capital et le contexte du projet, plutôt que par le degré de décentralisation.
2. La transparence des transactions sur la chaîne permet aux participants du marché d'avoir facilement une vue d'ensemble des transactions, augmentant le risque d'attaques dans un environnement à fort levier.
3. L'absence de financement et des performances élevées peuvent conduire à une prise de décision et à des projets plus centralisés.
4. Manque de mécanismes de contrôle dynamique des risques, difficile à gérer les risques liés aux actifs à haut risque et aux gros retraits.

Trois, les défis internes de Hyperliquid

Du point de vue de la liquidité, bien que Hyperliquid se distingue dans les Dex, ses dépôts de baleines géantes peuvent normalement représenter près de 20 % de la TVL de la plateforme. Cela signifie que si un événement similaire à plus grande échelle se produisait, cela pourrait déclencher une fuite massive de baleines, entraînant la plateforme dans un cycle vicieux d'épuisement de la liquidité. Par conséquent, l'épaisseur et la composition de la liquidité sont essentielles pour les Dex de contrats perpétuels.

En termes d'architecture, Hyperliquid est un Dex avec sa propre Layer1, dont la chaîne se compose de HyperEVM et HyperCore. HyperCore équivaut au moteur de correspondance d'un échange centralisé, partageant le même niveau de consensus (HyperBFT) que HyperEVM. Bien que ce design soit innovant, il présente également des risques potentiels, tels que l'incohérence des états de transaction, des délais de synchronisation et des délais de règlement inter-chaînes.

Le coffre-fort HLP (HyperliquidPool) est au cœur de l'écosystème Hyperliquid, utilisant un système "livre de commandes en chaîne + pool de stratégies" à double voie. Les utilisateurs reçoivent un certificat de token HLP après avoir déposé des actifs, avec des revenus provenant des parts de frais de transaction, de l'arbitrage des taux de financement et des bénéfices de liquidation. HLP fournit de la liquidité pour le trading de contrats perpétuels, mais se révèle également vulnérable face aux attaques de baleines.

Quatre, le chemin est long

L'histoire de Perp Dex remonte à ses débuts, son développement provenant de certains mécanismes hybrides, et atteignant son apogée dans la simulation complète des échanges centralisés par Hyperliquid. Hyperliquid se distingue par ses performances en matière de rendement et d'efficacité du capital, mais comment faire face à la perte d'efficacité et à la vulnérabilité apportées par la décentralisation tout en maintenant ces avantages demeure un grand défi.

Le chemin de l'Ordre Livre Dex est encore parsemé d'embûches. Dans cette guerre de plusieurs années contre les échanges centralisés, Hyperliquid est sans aucun doute le participant ayant réalisé le plus de progrès. Cependant, la direction future du développement nécessite encore une réflexion approfondie.

Cinq, le marché a toujours raison

Le succès de la DeFi ne provient pas uniquement de ses caractéristiques décentralisées, mais plutôt de sa capacité à satisfaire des besoins que les utilisateurs ne peuvent pas réaliser dans la finance traditionnelle grâce à cette décentralisation.

Hyperliquid représente le modèle de succès actuel des Perp Dex, pouvant être considéré comme un Dex construit sur une chaîne unique ou un échange centralisé avec un registre transparent. Il attire les utilisateurs natifs et les investisseurs à la recherche d'un refuge grâce au concept de la chaîne, mais pour réaliser véritablement l'idéal de la décentralisation, de nombreux défis doivent encore être surmontés.

En tant que produit en chaîne qui simule au maximum un échange centralisé, Hyperliquid entraîne inévitablement certaines pertes d'efficacité. À court terme, le resserrement des limites de levier et l'augmentation de divers mécanismes d'assurance peuvent aider à surmonter les difficultés.

À long terme, ces nouveaux produits émergents ne devraient peut-être pas être limités à une pensée conventionnelle. Dans l'exploration de la gouvernance et des divers mécanismes, il convient également de maintenir l'idée qui a prévalu lors de la création de Hyperliquid, en mettant l'accent sur la demande et l'efficacité.