Hyperliquid acaba de passar por um "teste de resistência": Desde um ataque real até lições de defesa

Recentemente, um evento notável ocorreu na Hyperliquid - uma das plataformas de contratos perpétuos descentralizados mais avançadas atualmente. Um atacante deliberadamente destruiu 3 milhões de dólares, mas ao final, a tesouraria HLP do protocolo teve que suportar uma perda de 5 milhões de dólares - quase o dobro do valor que foi eliminado pelo atacante. Este é um aprendizado valioso sobre a resiliência dos sistemas de negociação descentralizados.

À primeira vista, este incidente parece uma “auto-ataque” totalmente inútil - sem vencedores, apenas vítimas. No entanto, ao analisar mais profundamente, podemos perceber que pode ter sido um “teste de resistência” de baixo custo contra a verdadeira capacidade de defesa da Hyperliquid. Especialmente considerando que, se esse método ainda estiver ativo, jogadores com maior capital podem facilmente escalá-lo para uma escala maior.

Como ocorreu toda a operação de ataque

O cenário começa de forma bastante simples: o atacante retira 3 milhões de dólares em USDC de uma exchange centralizada, depois distribui esse valor em 19 carteiras diferentes para esconder rastros. Em seguida, todo o montante é enviado para a Hyperliquid.

Dentro do protocolo, o atacante faz uma jogada decisiva: abre uma posição long com alavancagem de 5x no par HYPE/POPCAT. Com 3 milhões de dólares como margem, ele controla uma posição de até 26 milhões de dólares. Até aqui, tudo segue as regras normais.

Mas o que muda tudo está no detalhe seguinte: o atacante coloca uma parede de ordens de compra gigante - 20 milhões de dólares - a 0,21 USD, enquanto o preço oscila perto de 0,22 USD. Essa ação cria a ilusão de um suporte forte, enviando um sinal claro ao mercado: “Há um investidor enorme aqui, o preço certamente será difícil de cair abaixo deste ponto”.

Outros traders, vendo esse fluxo de capital positivo, confiam que a parede de compra irá impedir qualquer colapso. Eles começam a abrir posições long ou a não gerenciar riscos adequadamente, confiando nesse suporte. A liquidez se concentra de um lado, e a alavancagem se acumula lentamente.

Nesse momento, o atacante retira essa parede de ordens de compra falsa da ordem. Imediatamente, a liquidez desaparece, e não há mais suporte real. O preço começa a cair. Traders usando alavancagem são liquidados em efeito cascata - cada liquidação leva a uma venda em massa, que por sua vez ativa mais liquidações.

Ao final dessa cadeia de reações, muitos traders têm suas contas zeradas, mas o mecanismo do sistema faz com que a tesouraria HLP da Hyperliquid suporte uma perda de 4,9 milhões de dólares.

O que é HLP e por que ela suporta perdas?

Para entender melhor, precisamos conhecer o HLP - sigla de Hyperliquid Pool. Pode-se imaginar como um grande fundo comum, composto principalmente por USDC, que atua como parceiro final de negociação para todos os traders na plataforma.

O funcionamento é bastante claro:

• Usuários depositam USDC no HLP
• Em troca, fornecem liquidez ao sistema e assumem riscos
• Quando um trader tem prejuízo, ele gera lucro para o sistema; quando ganha, o sistema paga

Em outras palavras: se o mercado estiver estável, o HLP terá lucro, pois as perdas dos traders compensam os ganhos. Em teoria, o fundo deve manter um equilíbrio.

Na prática, o HLP tem operado muito bem. Desde sua criação, acumulou um lucro líquido de 118 milhões de dólares. Este ataque de 5 milhões de dólares representa apenas 4% desse lucro acumulado.

Porém, o problema central está aqui: em um mercado normal, os traders são liquidados antes que suas contas fiquem completamente zeradas, e suas perdas compensam os lucros dos vencedores. O sistema mantém o equilíbrio.

Mas, em um colapso como este:

• A volatilidade de preços é rápida demais, ultrapassando a capacidade de reação
• A liquidez desaparece no momento mais crítico
• Algumas posições não podem ser fechadas a preços razoáveis
• Slippage (deslizamento de preço) se torna extremo
• Os ganhos com liquidação não são suficientes para cobrir os vencedores

Essa diferença - entre o que as partes deveriam pagar em perdas e o que o sistema realmente arrecada - é suportada pelo fundo HLP. Este é o maior risco do ponto de vista de segurança do protocolo.

O atacante realmente perdeu 3 milhões de dólares?

A resposta provavelmente é não. Um atacante profissional quase certamente fez hedge em outro lugar - talvez em uma exchange centralizada, por meio de opções, contratos perpétuos diferentes ou até acordos OTC.

Por exemplo, ele pode:

• Abrir uma posição short em POPCAT em outra plataforma para se proteger
• Aproveitar acordos OTC com parceiros que se beneficiariam com o prejuízo da Hyperliquid
• Construir operações neutras de risco, lucrando com o desequilíbrio do mercado na Hyperliquid

Não temos provas públicas, mas do ponto de vista de teoria de jogos e eficiência de uso de capital, essa explicação faz muito mais sentido.

Se for esse o caso, o lucro/prejuízo real do atacante é aproximadamente zero ou até positivo, enquanto a Hyperliquid sofre uma perda clara de 5 milhões de dólares. Este é o verdadeiro problema.

Lições para os protocolos: que tipo de defesa é necessária?

Sob a perspectiva de um atacante profissional, esse ataque pode ser apenas um “teste de resistência” de baixo custo - suficiente para observar como o sistema reage, a profundidade real do fundo, a velocidade de intervenção da equipe, e se as medidas de emergência são eficazes. É um teste prévio a ataques maiores e mais coordenados no futuro.

Para se defender contra esse tipo de ataque, Hyperliquid e protocolos similares precisam implementar uma série de medidas:

Limitar risco individual: restringir a quantidade de risco que uma entidade pode acumular, mesmo que divida em várias carteiras. Utilizar heurísticas como análise de fluxo de caixa, tempo, IP e comportamento.

Requisitos de margem adaptativos: quando um lado do livro de ordens estiver excessivamente desequilibrado, aplicar requisitos de margem mais rigorosos para evitar acumulação de posições excessivas.

Mecanismo de circuit breaker: aplicar circuit breakers em mercados específicos, especialmente aqueles com baixa liquidez. Quando o preço se move muito rápido em condições de baixa liquidez e alto open interest, o sistema entra em modo de proteção, desacelerando as negociações. Assim, há tempo para reagir antes que o HLP absorva perdas demais.

Regras mais rígidas para ativos de baixa liquidez: esses ativos são mais suscetíveis a manipulação, portanto, devem ter restrições adicionais.

Detecção de ordens falsas: melhorar a detecção de ordens fraudulentas e “paredes de compra falsas”, evitando que o sistema seja enganado por sinais de liquidez falsos.

HLP mais inteligente: o próprio HLP pode evoluir de um parceiro passivo para um mecanismo mais inteligente, que faça hedge automático de riscos extremos em exchanges externas, ou até dividir-se em uma parte conservadora e uma de maior volatilidade, com opções.

Resumindo, a chave é que, quando alguém tenta montar uma posição capaz de destruir o sistema, este deve entrar em modo de proteção antes que o fundo absorva perdas. Essa é a verdadeira forma de tornar os protocolos descentralizados realmente sustentáveis.