Hyperliquid,一个以去中心化交易所(DEX)自居的平台,近期遭遇了一场重大的安全危机,这一事件不仅震撼了加密货币社区,也将DEX是否真正“去中心化”的核心问题推上了讨论的风口浪尖。据悉,此次攻击导致了巨额资金的流失,Hyperliquid的用户信任和市场声誉因此遭受严重打击。推特上的热议如潮水般涌来,观点针锋相对:一些人质疑Hyperliquid的应对措施,指责其所谓“去中心化”不过是空话,暴露出中心化控制的痕迹;另一些人则为其辩护,认为平台的紧急反应是为了保护用户资产和系统完整性,是在危机中的必要之举。这种分歧反映了社区对DEX理想与现实之间落差的深切关注。
Hyperliquid 首次被攻击过程
这位攻击者最初大量买入以太坊(ETH),这一行为本身因其过往交易的成功而引发了市场的FOMO,驱使其他投资者跟随加仓或平仓,进一步推升了ETH的价格。在此过程中,他利用交易利润持续增加仓位,同时提取浮动盈利以降低保证金占用,形成了一种高效的循环杠杆策略。举个例子,他通过将持有的ETH作为抵押品借入稳定币USDT,随后用借入的USDT再次购入ETH,从而进一步拉高ETH的市场价格。随着ETH价格的上涨,他得以借入更多的USDT,重复这一循环操作。这一策略的关键在于,他所提取的浮动利润超过了初始存入的保证金,从而构成了其收益的核心模式。据统计,他总计投入1500万美元的保证金,最终提取了1700万美元,实现了200万美元的净利润。然而,当他提取了足够的利润后,其持有的巨额ETH仓位因市场波动导致保证金不足而被爆仓,这部分仓位由 Hyperliquid 的做市基金接管清算。根据持仓数据,本次攻击使得 HLP亏损接近400万美元。
此次针对Hyperliquid平台的攻击事件暴露了其风险管理体系中存在的显著缺陷。攻击者利用平台所允许的高杠杆机制,仅以相对较少的保证金便得以开设规模庞大的交易仓位,从而显著放大了潜在的市场风险以及平台自身的风险暴露度。具体而言,高杠杆交易允许攻击者以有限的自有资金控制巨额资产规模,这种策略在市场顺向波动时能够带来超额收益,但同时也使得风险高度集中。一旦市场走势与攻击者的仓位方向相反,高杠杆的特性将迅速放大亏损,可能导致巨额坏账的累积,从而对平台及其用户的资金安全构成严重威胁。为应对这一漏洞并增强平台的风险抵御能力,Hyperliquid迅速采取了一系列改进措施。其中,最为核心的是引入了阶梯保证金,该制度根据交易仓位的规模或风险水平动态调整所需的保证金比例,旨在有效遏制交易者过度使用杠杆的行为。对于规模较大或风险较高的仓位,平台要求更高的保证金比例,以确保存在足够的资金缓冲来抵御市场波动带来的潜在损失。此外,Hyperliquid还对最大杠杆倍数进行了严格限制,进一步降低了交易者通过高杠杆进行高风险操作的可能性。
Hyperliquid 再次被攻击
2025年3月26日,H yperliquid遭遇了一起精心策划且具有高度预谋性的攻击事件。攻击者将目标锁定于流动性严重不足、价格波动剧烈的Memecoin资产——$Jellyjelly(以下简称$JELLY)。由于该资产的市场深度极浅,大额交易极易引发显著的价格波动,这为市场操控提供了天然的便利条件。攻击者通过设计一套复杂的交易策略,结合对平台清算机制的深刻理解,成功利用市场微观结构漏洞实现了获利。
攻击始于地址 0xde9...f5c91 在Hyperliquid平台上开设了一笔价值408万美元的$JELLY空头仓位,开仓价格为0.0095美元,并为此提供了350万枚USDC作为保证金。空头仓位的建立意味着攻击者预期$JELLY价格将下跌,若市场走势符合预期,则可通过价格差额获利。然而,攻击者的核心意图并非单纯的投机,而是通过协同操作操控市场价格并触发平台的清算机制。在空头仓位建立后,攻击者通过另一地址 Hc8gN...WRcwq 在现货市场大规模抛售$JELLY。由于$JELLY的流动性不足,大额卖单迅速压低了市场价格,导致攻击者的空头仓位出现浮动盈利。随着账面利润的增加,攻击者随即从空头仓位中提取了276万枚USDC的保证金。这一操作显著降低了仓位的保证金比例,使其仓位被清算基金接管。
然而,在$JELLY这样流动性极差的市场中,直接以市价清算大规模仓位会产生巨大的冲击成本。由于市场深度不足,清算行为本身可能进一步拉高价格,导致实际清算价格远高于预期,从而为平台带来显著亏损。为避免这一风险,HLP并未立即执行市价清算,而是选择暂时接管该仓位,以期在市场条件改善时再行处理。
攻击者充分利用了HLP的这一决策延迟,迅速转向反向操作,即通过现货市场大量买入$JELLY。此举推动$JELLY价格快速回升,使得HLP接管的空头仓位出现浮动亏损。随着价格上涨,HLP的亏损进一步放大,而攻击者则通过现货市场的买入行为锁定利润,同时将更大的亏损风险转嫁给平台。
若 jellyjelly 的价格未出现下跌,甚至维持稳定或上涨趋势,HLP 的散户投资者可能会倾向于撤回其资金。这是因为在这种市场条件下,投资者可能认为继续持有仓位无法带来更高的资本利得,或出于对潜在市场风险的担忧而选择降低风险敞口。随着撤资规模的扩大,HLP 的资金池——即用于支持交易活动和仓位管理的资金储备——将逐步缩减。这种资金池的减少直接导致爆仓价格(即触发强制平仓的资产价格阈值)下降。爆仓价格的降低意味着现有仓位更容易触及平仓线,增加了平台维持仓位稳定的难度。这一现象可被视为一种逐利博弈:撤资较早的投资者得以锁定收益并规避风险,而撤资较晚的投资者则可能面临更大的损失风险,因其仓位在爆仓价格降低后更易被强制清算。进一步而言,大量投资者的撤资行为可能引发挤兑效应,形成一个正反馈循环。投资者对平台信心下降导致资金加速流出,而资金池的枯竭反过来加剧爆仓风险,最终可能使得 HLP 陷入流动性危机。
Hyperliquid 的应对策略
在遭受攻击后,Hyperliquid平台的应对策略显现出一定程度的偏颇与争议性,其决策过程及执行手段在学术视角下值得深入剖析。Hyperliquid官方采取了极端措施,直接下架$JELLYJELLY这一资产,并通过操控预言机,以大幅低于市场正常价格的价格清算了攻击者的空头仓位。这一举动非但没有亏损,反而为平台带来了高达70.3万美元的收益。尽管官方宣称此系列行动系基于委员会的投票决定,这一说辞并未能平息社区与市场参与者的广泛质疑,反而进一步加剧了争议。从风险管理的学术角度审视,Hyperliquid的策略存在多重问题:其直接干预市场机制的行为,背离了去中心化金融(DeFi)所倡导的透明性与自治原则,可能对平台公信力构成损害,并对其他资产的交易生态产生负面溢出效应。此外,通过操控预言机以优惠价格清算空单,虽在短期内实现经济收益,却涉嫌市场操控,违背公平交易的基本伦理,对平台的长期声誉与用户信任造成深远负面影响。Hyperliquid试图以委员会投票的集体决策为依据,赋予其行动合法性,然而,这一解释未能充分阐明决策的合理性与合规性,反而暴露了平台治理机制的潜在缺陷。在DeFi生态中,治理决策的透明度与公正性是维系社区信任的核心,而此次事件未能展现决策过程的公开性与可问责性,或将进一步削弱平台的社区支持与市场竞争力。综上,Hyperliquid在应对此次攻击时的策略选择,不仅未能有效化解风险,反而通过具有争议性的手段获取短期利益,损害了其长期发展前景与生态信任。
总结
综上所述,Hyperliquid平台所遭遇的两次攻击事件不仅暴露了其在风险管理体系和治理机制上的显著缺陷,更深刻揭示了当前去中心化交易所(DEX)在追求真正“去中心化”过程中所面临的严峻挑战。首次攻击中,攻击者利用高杠杆机制,通过循环杠杆策略操控以太坊价格,从平台抽取200万美元利润,而Hyperliquid的做市基金却因此亏损近400万美元,这凸显了平台在高杠杆交易和低流动性资产管理上的漏洞。第二次攻击则更为复杂,攻击者针对流动性极差的Memecoin $JELLY,通过空头仓位与现货市场操作相结合,成功转嫁亏损给平台,同时利用清算机制延迟获利,进一步暴露了平台在市场微观结构和风险应对上的不足。Hyperliquid的应对措施——如直接下架资产和操控预言机以低价清算仓位,这使得其中心化干预特性引发社区对平台透明性和自治性的强烈质疑,与DeFi的核心理念背道而驰。这些事件不仅显示了DEX在防范市场操控、处理低流动性资产及维护用户信任方面的脆弱性,也为整个DeFi生态敲响警钟:技术创新与治理机制的完善必须并重。Hyperliquid的经历是一个警示,其暴露的问题促使业界重新审视风险管理框架与治理结构,以实现真正的去中心化理想,为DEX的长期稳定与可持续发展提供宝贵经验教训。
