Аналіз інциденту з атакою на Hyperliquid: попит є початком, правильність є кінцевою метою

Один. Святкування ворон

26 березня проект Dex Hyperliquid знову зазнав атаки. Це четверта велика безпекова подія для цього проекту з листопада минулого року, і це найсерйозніша криза, з якою він стикається. Метод атаки є таким же, як і у випадку з величезними китами, які робили 50-кратне лонгування ETH, але був більш точним і жорстоким, немов це була групова атака на Dex.

Зловмисник вибрав недостатньо ліквідний мем-койн JELLY на Solana як точку прориву. У той же вечір о дев'ятій годині зловмисник вніс 3,5 мільйона USDC як заставу, відкривши коротку позицію на JELLY вартістю 4,08 мільйона доларів США з максимальним кредитним плечем на платформі. Тим часом адреса, що володіє великою кількістю JELLY, влаштувала розпродаж на спотовому ринку, що призвело до обвалу ціни токена та отримання прибутку від короткої позиції.

Ключовий поворот відбувся на етапі вилучення маржі: зловмисник швидко вивів 2,76 млн USDC, що призвело до недостатності залишкової маржі за короткими позиціями, що активувало автоматичний механізм ліквідації Hyperliquid. Страховий фонд платформи HLP був змушений взяти на себе цю величезну коротку позицію JELLY. Потім зловмисник почав зворотні операції, протягом короткого часу масово купуючи JELLY, що призвело до стрімкого зростання його ціни в кілька разів, HLP зазнав втрат понад 10,5 млн доларів.

Коли Hyperliquid опинився у скрутному становищі, деякі централізовані біржі швидко втрутилися. Дві великі платформи швидко запустили перманентні контракти JELLY протягом години після нападу, підозрюючи, що вони використовують його глибину ліквідності та вплив, щоб продовжити підвищувати ціну токена, ще більше збільшуючи збитки HLP.

У критичний момент комітет валідаторів Hyperliquid проголосував за зняття постійного контракту JELLY, в результаті чого ціна закриття була встановлена на рівні ціни відкриття атакуючого, а HLP отримав прибуток у 700 тисяч доларів. У ситуації, коли не було виходу, Hyperliquid вирішив зробити крок назад і особисто зняв "покривало сорому" децентралізованої системи.

Два. Онлайнова біржа?

Hyperliquid, як провідний протокол на ринку безстрокових контрактів на блокчейні, займає 9% від глобального обсягу контрактних торгів на великій торговій платформі, що робить його лідером серед Dex. У той же час, інші платформи Dex у сумі займають лише приблизно 5%, тому Hyperliquid називають "блокчейн торговою платформою".

Проте цей проект Dex, заснований після краху одного з криптовалютних обмінників, здається, не має успіху, адже майже щомісяця він зазнає серйозних атак, що ставить його на межу. Ось кілька основних інцидентів безпеки.

1. Грудень 2024: Потенційна загроза (неуспішна атака) Дослідники з безпеки виявили кілька підозрілих адрес, які проводили тестування торгівлі на Hyperliquid, загальні збитки склали понад 700 000 доларів США. Ці адреси повторно торгували, перевіряючи вразливості системи, що може свідчити про підготовку до майбутніх атак.

2. Січень 2025 року: Атака високим кредитним плечем від гігантів ETH Користувач відкрив довгу позицію на ETH вартістю 300 мільйонів доларів з 50-кратним важелем, отримавши плаваючий прибуток у 8 мільйонів доларів, після чого раптово зняв більшу частину маржі, що призвело до підвищення ціни ліквідації. Врешті-решт HLP був змушений взяти на себе позицію, зазнавши збитків приблизно в 4 мільйони доларів.

3. 12 березня 2025 року: другий напад китів на ETH Атакуючи, зловмисники знову використали високий важіль для операцій з контрактом ETH, що призвело до подальших збитків у скарбниці HLP.

4. 26 березня 2025 року: подія JELLY Як зазначено вище.

Ці події виявили проблеми Hyperliquid у механізмах маржі, механізмах HLP, обмеженнях кількості валідаторів тощо.

Реалізація повністю децентралізованого проекту Dex стикається з численними викликами: розвиток проекту часто керується основною командою, голосування з управління важко повністю децентралізувати, відомим особам важко відмовитися від впливу та інтересів, а проекти Dex, прагнучи до капітальної ефективності, неминуче стикаються з балансуванням між складністю та ризиками централізації.

Щодо DEX з безстроковими контрактами на всю ланцюг, існують такі проблеми:

1. Користувачі більше зосереджені на капіталовій ефективності та фоні проекту, а не на ступені децентралізації.
2. Прозорість транзакцій на ланцюгу дозволяє учасникам ринку легко зрозуміти ситуацію з транзакціями, що підвищує ризик атак в умовах високого важеля.
3. Відсутність фінансування та висока продуктивність можуть призвести до більшої централізації рішень і проектів.
4. Відсутність динамічного механізму управління ризиками ускладнює реагування на ризики, пов'язані з високоризиковими активами та великими виведеннями.

Три, внутрішні виклики Hyperliquid

З точки зору ліквідності, Hyperliquid, хоча і демонструє відмінні результати в Dex, але його великі депозити у звичайних умовах можуть становити близько 20% від загальної вартості заблокованих активів (TVL) платформи. Це означає, що у разі виникнення більш масштабних подібних подій, це може спровокувати масовий вихід великих гравців, що призведе до потрапляння платформи в порочне коло виснаження ліквідності. Тому товщина та склад ліквідності є критично важливими для Dex з безстроковими контрактами.

З архітектурної точки зору, Hyperliquid є Dex з власним Layer1, його ланцюг складається з HyperEVM та HyperCore. HyperCore є еквівалентом механізму матчінгу централізованої біржі та ділить один і той же рівень консенсусу (HyperBFT) з HyperEVM. Хоча цей дизайн є інноваційним, він також має потенційні ризики, такі як несумісність стану угоди, затримки синхронізації, затримки крос-ланцюгового клірингу тощо.

HLP (HyperliquidPool) скарбниця є основою екосистеми Hyperliquid, що використовує двотрекову систему "онлайн-ордерна книга + стратегічний пул". Користувачі, які вносять активи, отримують сертифікат HLP токена, а джерела доходу включають розподіл комісій за угоди, арбітражні ставки та доходи від ліквідації. HLP забезпечує ліквідність для торгівлі безстроковими контрактами, але в умовах атаки великих китів також виявляється вразливим.

Чотири, довгий шлях

Історія Perp Dex налічує багато років, її розвиток походить від деяких змішаних механізмів і досягає піку у повній імітації централізованих бірж в Hyperliquid. Hyperliquid демонструє відмінні результати в прибутковості та капіталовій ефективності, але як зберегти ці переваги, стикаючись із втратою ефективності та вразливістю, що виникають у результаті децентралізації, залишається великим викликом.

Дорога до книги замовлень Dex все ще вкрита тернами. У цій багаторічній війні проти централізованих бірж Hyperliquid безсумнівно є найбільш прогресивним учасником. Однак майбутній напрямок розвитку все ще потребує глибокого осмислення.

По-п'яте, ринок завжди правий

Успіх DeFi не зовсім походить від його децентралізованої природи, а радше від того, що децентралізація задовольняє потреби користувачів, які не можуть бути реалізовані в традиційній фінансовій системі.

Hyperliquid представляє собою успішну парадигму сучасного Perp Dex, його можна вважати Dex, побудованим на одноранговій ланцюгу або централізованою біржею з прозорим реєстром. Він залучив корінних користувачів та інвесторів, які шукають притулок, завдяки концепції ланцюга, але для того, щоб справді реалізувати ідеал децентралізації, все ще потрібно подолати багато викликів.

Як продукт, що максимально імітує централізовану біржу на блокчейні, Hyperliquid неминуче має деякі втрати ефективності. У короткостроковій перспективі посилення обмежень на важелі та збільшення різних страхових механізмів можуть допомогти подолати труднощі.

З довгострокової перспективи ці нові продукти, можливо, не повинні бути обмежені традиційним мисленням. У дослідженні управління та механізмів також слід дотримуватися принципів, закладених під час створення Hyperliquid, ставлячи на перше місце потреби та ефективність.