Wojna w cieniu się nasila: Hyperliquid padł ofiarą „samobójczego” ataku, ale prawdziwa bitwa może się dopiero zaczynać

Atakujący poniósł stratę 3 milionów dolarów w „samobójczym” ataku, jednak możliwe, że poprzez zewnętrzny hedging osiągnął równowagę zysków i strat – to bardziej przypominało niskokosztowy „stress test” odporności protokołu.

Autor: The Smart Ape

Tłumaczenie: AididiaoJP, Foresight News

W branży kryptowalutowej panują hasła takie jak „kod to prawo”, „ufaj matematyce, nie ludziom”, „open source + decentralizacja” itd…

Wszystko to jest prawdą, ale ostatnie tygodnie ponownie pokazały, jak bardzo nasz obecny model jest wciąż kruchy.

Nawet najbardziej zaawansowana zdecentralizowana giełda perpetuali @HyperliquidX właśnie doświadczyła poważnego ataku.

Pewien atakujący stracił własne 3 miliony dolarów tylko po to, by spowodować stratę 5 milionów dolarów w skarbcu HLP protokołu – niemal dwukrotność swojej likwidacji.

Na pierwszy rzut oka wygląda to na „samobójczy” atak – bez zysku, tylko destrukcja.

Jednak w świecie, w którym Hyperliquid zaszkodził wielu konkurentom (w tym dużym instytucjom), sama myśl, że ktoś może zapłacić 3 miliony dolarów, by HL stracił 5 milionów dolarów, jest przerażająca.

Jeśli ta metoda ataku pozostanie otwarta, nic nie powstrzyma większych graczy przed jej eskalacją.

Jak przebiegał atak

Najpierw atakujący wypłacił 3 miliony USDC z @okx, rozdzielił je na 19 nowych portfeli, a następnie przesłał całość na Hyperliquid.

Następnie otworzył ogromną lewarowaną pozycję długą na rynku perpetuali HYPE / POPCAT. Użył tych 3 milionów dolarów jako depozytu zabezpieczającego, z dźwignią 5x. Ostatecznie kontrolował pozycję o wartości 26 milionów dolarów.

Do tego momentu wszystko wyglądało normalnie, ale wszystko zmieniło się, gdy atakujący, przy cenie około 0,22 USD, wystawił zlecenie kupna na 20 milionów dolarów w okolicach 0,21 USD. Stworzyło to iluzję silnego wsparcia – „patrzcie, tu jest ogromny kupujący, cena raczej nie spadnie poniżej tego poziomu”. Widząc to, inni traderzy uznali, że duży kapitał wspiera cenę, więc również otwierali pozycje długie. W rezultacie coraz więcej osób zaczęło grać na wzrosty z dźwignią lub bez odpowiedniego zabezpieczenia, czując się chronionymi przez tę „ścianę”.

Jednak nie było to prawdziwe wsparcie – to była pułapka.

Kiedy wystarczająco wielu traderów znalazło się po stronie długiej, atakujący usunął fałszywą ścianę zleceń kupna, przez co płynność natychmiast stała się bardzo niska, a poniżej nie było już żadnego realnego wsparcia.

Następnie cena zaczęła spadać, traderzy z dźwignią byli likwidowani, co wywołało kolejną falę sprzedaży, a ta z kolei kolejne likwidacje. To klasyczna reakcja łańcuchowa likwidacji, ale zaprojektowana celowo.

Pod koniec tej reakcji łańcuchowej wielu traderów zostało zlikwidowanych, ale zgodnie z zasadami działania systemu, to skarbiec protokołu poniósł ostatecznie stratę 4,9 miliona dolarów.

On-chain wygląda na to, że pozycja depozytowa atakującego w wysokości 3 milionów dolarów została całkowicie zlikwidowana.

Na papierze wygląda to tak:

• Atakujący: -3 miliony dolarów
• Skarbiec HLP: -5 milionów dolarów

Wygląda to na „samobójczy” atak.

Czym jest HLP i dlaczego poniósł stratę?

HLP można sobie wyobrazić jako duży wspólny skarbiec, którego głównym kapitałem jest USDC, służący jako ostateczna strona transakcji dla wszystkich traderów na Hyperliquid.

Użytkownicy deponują USDC w HLP. W zamian:

• zapewniają płynność systemowi
• ponoszą ryzyko
• zarabiają na opłatach/przychodach, gdy traderzy tracą lub płacą funding rate

W dużym uproszczeniu:

• Gdy traderzy tracą, HLP zarabia (skarbiec rośnie).
• Gdy traderzy zarabiają, HLP płaci (skarbiec maleje).

To połączenie ogromnego automatycznego market makera i funduszu ubezpieczeniowego.

Dlatego jeśli jakiś rynek (np. POPCAT/HYPE) się załamie, globalny HLP ponosi straty. Ogólnie rzecz biorąc, HLP był bardzo dochodowy i w długim terminie stale zarabia. Łącznie wygenerował już 118 milionów dolarów zysku netto. W porównaniu do zgromadzonych zysków od początku istnienia, ten atak na 5 milionów dolarów jest niewielki.

Głównym pytaniem jest, dlaczego HLP poniósł tutaj stratę 5 milionów dolarów?

W spokojnym, normalnym rynku traderzy są likwidowani zanim zostaną zlikwidowani do zera, a ich straty pokrywają zyski drugiej strony – system pozostaje w równowadze.

Jednak przy tak gwałtownym spadku:

• zmiany cen są zbyt szybkie
• płynność znika w kluczowym momencie
• niektóre pozycje trudno lub nie da się zamknąć po uczciwej cenie
• slippage może być ogromny
• z likwidacji nie zawsze udaje się odzyskać pełną należną kwotę

Różnicę między kwotą, którą powinna zapłacić strona przegrywająca, a tym, co system faktycznie odzyskał on-chain, ostatecznie pokrywa skarbiec HLP.

I to jest właśnie ta przerażająca część z perspektywy ryzyka protokołu.

Czy atakujący naprawdę „spalił” 3 miliony dolarów?

Nie sądzę, by atakujący stracił 3 miliony dolarów. Prawie na pewno zabezpieczył się gdzie indziej (na scentralizowanej giełdzie, opcjach, innych perpetualach, a nawet OTC).

Na przykład mógł:

Otworzyć przeciwstawną pozycję na innej giełdzie (short na POPCAT / powiązane ryzyko)

Zbudować neutralną strategię, by zarabiać na zaburzeniach rynku Hyperliquid

Skorzystać z OTC z kontrahentem, który zyskał na stracie Hyperliquid

Nie mamy publicznych dowodów na taki hedging.

Jednak z punktu widzenia teorii gier i efektywności kapitału, takie wyjaśnienie jest znacznie bardziej logiczne.

W takim przypadku rzeczywisty zysk/strata atakującego ≈ 0, a nawet dodatni, podczas gdy skarbiec HLP Hyperliquid ponosi wyraźną stratę 5 milionów dolarów.

Testowanie teorii

To mógł być test ataku. Dla gracza z dużym kapitałem to „mały” atak – wystarczająco duży, by obserwować reakcję systemu, zmiany w HLP, szybkość reakcji zespołu, rzeczywistą głębokość skarbca oraz skuteczność awaryjnych środków takich jak blokady mostów.

Gdy myślisz jak profesjonalny atakujący lub bogaty konkurent, 3 miliony dolarów niekoniecznie są stratą – mogą być budżetem na R&D. To sposób na przygotowanie się do większych, bardziej skoordynowanych, lepiej zabezpieczonych ataków, których celem jest nie tylko wyciągnięcie środków, ale też podważenie zaufania do rdzenia systemu.

Jak Hyperliquid może się bronić przed takimi atakami?

Po pierwsze, mogą ograniczyć ekspozycję ryzyka pojedynczego podmiotu, nawet jeśli korzysta z wielu portfeli (stosując heurystyki: wzorce przepływu środków, czas, IP, zachowanie). Gdy jedna strona orderbooka jest silnie przeciążona, mogą wprowadzić ostrzejsze wymagania depozytowe. Globalnie – zwiększyć koszt otwarcia ogromnych pozycji kierunkowych, które mogą jednorazowo zniszczyć HLP.

Aby wzmocnić bezpieczeństwo rynku, mogą wdrożyć mechanizmy circuit breaker i ochronę przed zmiennością dla każdego rynku, które spowolnią ruchy cen przy niskiej płynności i dużym open interest.

Aktywa o niskiej płynności mogą podlegać ostrzejszym zasadom, by pojedynczy uczestnik nie mógł tak łatwo manipulować rynkiem. Chodzi o to, by w przypadku próby samobójczego ataku system przełączył się w tryb obronny zanim HLP pochłonie straty.

Samo HLP może ewoluować z pasywnej strony transakcji w bardziej inteligentną, częściowo zabezpieczoną księgę. Może to obejmować automatyczny hedging skrajnych ekspozycji na zewnętrznych rynkach, ograniczanie ryzyka na aktywo, a nawet podział skarbca na konserwatywny rdzeń i mniejszą, opcjonalną część wysokiej zmienności. To uczyni HLP trudniejszym celem ataku.

Wreszcie, lepsze wykrywanie fałszywych zleceń i ścian zleceń pomoże zapobiec poleganiu systemu na mylących sygnałach płynności. Integrując to z ceną referencyjną i silnikiem ryzyka, pojedyncza fałszywa ściana nie będzie już zniekształcać oceny ryzyka.