Hyperliquid щойно пройшов "тест на стрес": від реальної атаки до уроків з оборони

Нещодавно у Hyperliquid — одному з найпередовіших децентралізованих бірж для контрактів із постійним строком — сталася цікава подія. Зловмисник активував самознищення на суму 3 мільйони доларів США, але наприкінці фонд HLP протоколу зазнав збитків у 5 мільйонів доларів США — майже у два рази більше, ніж знищено зловмисником. Це цінний урок щодо стійкості децентралізованих торгових систем.

З зовнішнього вигляду ця ситуація нагадує «безкорисливу самогубну атаку» — без переможців, лише жертви. Однак при детальнішому розгляді можна побачити, що це може бути «тест на стрес» із низькими витратами, спрямований на перевірку реальної здатності Hyperliquid до захисту. Особливо враховуючи, що якщо цей метод залишити відкритим, більш капіталомісткі гравці цілком можуть масштабувати його ще більше.

Як відбувалася вся атака

Сценарій починається дуже просто: зловмисник зняв 3 мільйони доларів США USDC з централізованої біржі, потім розподілив цю суму по 19 різних гаманцях, щоб приховати сліди. Після цього всі кошти були переказані у Hyperliquid.

У протоколі зловмисник зробив поворот: відкрив довгу позицію з плечем 5x на парі HYPE/POPCAT. З 3 мільйонами доларів США як маржею він контролював обсяг позиції до 26 мільйонів доларів США. До цього моменту все йшло за звичайною логікою.

Але все змінилося в наступній деталі: зловмисник поставив величезний стінку ордерів на покупку — на 20 мільйонів доларів США — за ціною 0,21 USD, тоді як ціна коливалася біля 0,22 USD. Це створювало ілюзію міцної підтримки, посилаючи чіткий сигнал ринку: «Тут великий інвестор, і ціна навряд чи опуститься нижче цієї позначки».

Інші трейдери, побачивши цей потік капіталу, повірили, що захисна стінка запобігатиме будь-якому краху. Вони почали відкривати довгі позиції або не керували ризиками належним чином, довіряючи цій підтримці. Ліквідність концентрувалася в одному напрямку, і leverage накопичувався поступово.

Саме тоді зловмисник зняв цю фальшиву стінку ордерів із книги. Миттєво ліквідність зникла, і реальної підтримки вже не було. Ціна почала падати. Трейдери, що використовували leverage, були ліквідовані за ефектом каскаду — кожен ліквідований викликав масовий продаж, що в свою чергу активував ще більше ліквідацій.

У кінці цієї реакції багато трейдерів втратили свої рахунки, але механізм системи змусив фонд HLP Hyperliquid зазнати збитків у 4,9 мільйона доларів США.

Що таке HLP і чому він зазнав збитків?

Щоб краще зрозуміти, потрібно розібратися з HLP — скороченням від Hyperliquid Pool. Можна уявити його як великий спільний фонд, здебільшого у USDC, що виступає як останній партнер для всіх трейдерів платформи.

Механізм дуже простий:

• Користувачі вносять USDC у HLP
• У відповідь вони забезпечують ліквідність системі і беруть на себе ризик
• Коли трейдер зазнає збитків, вони отримують прибуток; коли виграють — платять

Інакше кажучи: якщо ринок стабільний, HLP матиме прибуток, оскільки програші трейдерів компенсують виграшних. Теоретично, фонд має залишатися збалансованим.

На практиці HLP працює дуже добре. З моменту заснування фонд накопичив чистий прибуток у 118 мільйонів доларів США. Ця атака на 5 мільйонів доларів — лише 4% від накопиченого прибутку.

Однак основна проблема полягає в тому, що:

• У нормальних умовах, трейдери будуть ліквідовані до того, як їхні рахунки згорять повністю, і їхні збитки компенсують виграшних
• Система зберігає баланс

Але під час такого краху, як ця атака:

• Надзвичайно швидка зміна цін, що перевищує можливості реагування
• Ліквідність зникає у найнеобхідніший момент
• Деякі позиції не можна закрити за розумною ціною
• Slippage (прослизання) стає жахливим
• Доходи від ліквідацій не достатні для покриття виграшних сторін

Ця різниця — між тим, що програші мали б платити і що система фактично отримує — лягає на фонд HLP. Це і є найбільший ризик з точки зору безпеки протоколу.

Чи справді зловмисник втратив 3 мільйони доларів?

Можливо, ні. Професійний зловмисник майже напевно хеджував ризики в інших місцях — можливо, на централізованих біржах, через опціони, інші perpetual-контракти або навіть OTC-угоди.

Наприклад, він міг:

• Відкрити коротку позицію на POPCAT на іншій біржі для захисту
• Використовувати OTC-угоди з партнерами, які отримають вигоду від збитків Hyperliquid
• Створювати нейтральні ризикові операції, отримуючи прибуток від дисбалансу ринку Hyperliquid

Ми не маємо публічних доказів, але з точки зору теорії ігрових стратегій та ефективності використання капіталу, ця гіпотеза більш логічна.

Якщо це так, реальні прибутки/збитки зловмисника ≈ 0 або навіть позитивні, тоді як Hyperliquid зазнає явних збитків у 5 мільйонів доларів. Це і є справжня проблема.

Уроки для протоколів: який захист потрібен?

З точки зору професійного зловмисника, ця атака може бути лише «тестом на міцність» із низькими витратами — достатнім, щоб спостерігати за реакцією системи, справжньою глибиною фонду, швидкістю реагування команди і ефективністю заходів у надзвичайних ситуаціях. Це своєрідний тест перед більш масштабними і скоординованими атаками у майбутньому.

Щоб захиститися від таких атак, Hyperliquid і подібні протоколи мають застосовувати ряд заходів:

Обмеження ризиків окремих учасників: обмежити кількість ризику, який може накопичити один суб’єкт, навіть якщо він розподіляє його по кількох гаманцях. Використовувати евристичні методи, такі як аналіз потоків грошей, часів, IP-адрес і поведінки.

Вимога адаптивного маржіналу: при значних відхиленнях у книзі ордерів застосовувати більш жорсткі вимоги до маржі, щоб запобігти накопиченню надмірних позицій.

Механізм circuit breaker: запровадити автоматичні обмежувачі для кожного ринку, особливо з низькою ліквідністю. При швидкому руху цін у умовах мізерної ліквідності і великого open interest система автоматично переходить у режим захисту, уповільнюючи торги. Це дає час системі реагувати, перш ніж HLP буде зношено.

Строгі правила для активів із низькою ліквідністю: ці активи більш схильні до маніпуляцій, тому потребують більш високих обмежень.

Виявлення фальшивих ордерів: покращити здатність виявляти фальшиві ордери і «фальшиві стінки», щоб уникнути введення системи в оманливі сигнали.

Розумніша HLP: сама HLP може еволюціонувати від пасивного торгового партнера до більш розумного механізму, що автоматично хеджує ризики у зовнішніх біржах або навіть ділиться на консервативну і більш волатильну частини.

Загалом, ключ у тому, щоб при спробі створити позицію, здатну зруйнувати систему, вона автоматично переходила у режим захисту до того, як фонд зазнає значних збитків. Це і є шлях до справжньої стійкості децентралізованих протоколів.