Hyperliquid недавно прошел "тест на стресс": от реальной атаки до уроков по защите

В последнее время произошло заметное событие в Hyperliquid — одном из самых передовых децентрализованных бирж для бессрочных контрактов. Атакающий активировал самоуничтожение своих 3 миллионов долларов, но в итоге фонд HLP протокола понес убытки в 5 миллионов долларов — почти вдвое больше, чем было уничтожено злоумышленником. Это ценное урок о устойчивости децентрализованных торговых систем.

На первый взгляд, это событие похоже на «самоубийственную атаку» без выгоды — победителя нет, есть только потери. Однако при более внимательном рассмотрении можно понять, что это может быть «тест на стресс» с низкими затратами, направленный на проверку реальной защиты Hyperliquid. Особенно учитывая, что если этот метод останется открытым, крупные игроки вполне смогут масштабировать его еще больше.

Как проходила вся атака

Сценарий начинается очень просто: злоумышленник снимает 3 миллиона долларов USDC с централизованной биржи, затем распределяет эти деньги по 19 разным кошелькам, чтобы скрыть следы. После этого все средства отправляются в Hyperliquid.

В протоколе злоумышленник делает решительный ход: открывает длинную позицию с плечом 5x по паре HYPE/POPCAT. Используя 3 миллиона долларов в качестве залога, он контролирует позицию на сумму до 26 миллионов долларов. Пока все идет по обычным правилам.

Но все меняется в следующей детали: злоумышленник выставляет огромный ордер на покупку — 20 миллионов долларов по цене 0,21 USD, в то время как цена колеблется около 0,22 USD. Этот шаг создает иллюзию надежной поддержки, посылая рынку сигнал: «Здесь крупный инвестор, цена точно не опустится ниже этого уровня».

Другие трейдеры, увидев такой поток капитала, верят, что стена поддержки остановит любой крах. Они начинают открывать длинные позиции или не управляют рисками должным образом, доверяя этой поддержке. Ликвидность концентрируется в одну сторону, кредитное плечо постепенно накапливается.

Именно в этот момент злоумышленник снимает эту фиктивную стену ордеров с книги. Мгновенно ликвидность исчезает, поддержки больше нет. Цена начинает падать. Трейдеры с плечом подвергаются ликвидации по эффекту каскада — каждое ликвидирование вызывает распродажу, а каждая распродажа активирует новые ликвидации.

В конце этой цепочки реакций многие трейдеры теряют свои аккаунты, но механизм системы вынуждает фонд HLP Hyperliquid понести убытки в 4,9 миллиона долларов.

Что такое HLP и почему он терпит убытки?

Чтобы понять лучше, нужно разобраться с HLP — сокращением от Hyperliquid Pool. Можно представить его как большой общий фонд, в основном состоящий из USDC, который выступает в роли последнего партнера по сделкам для всех трейдеров платформы.

Механизм очень прост:

• Пользователи вносят USDC в HLP
• В обмен они предоставляют ликвидность системе и берут на себя риск
• Когда трейдер терпит убытки, он получает прибыль; когда выигрывает — платит

Иными словами: если рынок стабилен, HLP будет в плюсе, потому что проигравшие трейдеры компенсируют выигравших. Теоретически, фонд должен оставаться сбалансированным.

На практике HLP работает очень хорошо. С момента основания фонд накопил 118 миллионов долларов чистой прибыли. Этот инцидент с 5 миллионами долларов — всего лишь 4% от накопленной прибыли.

Однако суть проблемы в следующем: в нормальных условиях трейдеры ликвидируются до полного сгорания счета, и их убытки компенсируют победителей. Система остается сбалансированной.

Но при крахе вроде этого:

• Цены меняются слишком быстро, превышая возможности реакции
• Ликвидность исчезает в самый нужный момент
• Некоторые позиции невозможно закрыть по разумной цене
• Скользкое проскальзывание (slippage) становится ужасным
• Доходы от ликвидаций не покрывают убытки победителей

Этот разрыв — между тем, что должны были заплатить проигравшие и что фактически получает система — ложится на плечи HLP. Это и есть главный риск с точки зрения безопасности протокола.

Реально ли злоумышленник потерял 3 миллиона долларов?

Вероятно, нет. Профессиональный злоумышленник почти наверняка хеджировал свои риски где-то еще — возможно, на централизованной бирже, через опционы, другие бессрочные контракты или даже внебиржевые соглашения OTC.

Например, он мог:

• Открыть короткую позицию по POPCAT на другой бирже для защиты
• Воспользоваться OTC-сделками с партнерами, которые выиграют при ущербе Hyperliquid
• Построить нейтральные рыночные стратегии, зарабатывая на дисбалансе Hyperliquid

У нас нет публичных доказательств, но с точки зрения теории игр и эффективности использования капитала, такое объяснение гораздо более логично.

Если это так, то реальный доход/убыток злоумышленника ≈ 0 или даже положительный, тогда как Hyperliquid несет явные убытки в 5 миллионов долларов. Вот это настоящая проблема.

Уроки для протоколов: какой должна быть защита?

Если смотреть с точки зрения профессионального злоумышленника, этот инцидент — скорее, «тест на прочность» с низкими затратами — чтобы понять, как система реагирует, насколько глубоко заложен фонд, как быстро команда может вмешаться и работают ли экстренные меры. Это проверка перед более масштабными и скоординированными атаками в будущем.

Чтобы защититься от подобных атак, Hyperliquid и аналогичные протоколы должны внедрить ряд мер:

Ограничение индивидуальных рисков: ограничить сумму риска, которую может накопить один субъект, даже если он делит его на множество кошельков. Использовать эвристические методы, такие как анализ потоков, времени, IP и поведения.

Требование адаптивных залогов: при сильных отклонениях в ордер-стеке вводить более строгие требования к залогам, чтобы предотвратить чрезмерное накопление позиций.

Механизм circuit breaker: внедрить автоматические остановки для каждого рынка, особенно с низкой ликвидностью. Когда цена движется слишком быстро при слабой ликвидности и большом открытом интересе, система автоматически переходит в режим защиты, замедляя торговлю. Это дает время системе отреагировать, прежде чем HLP понесет значительные убытки.

Строгие правила для активов с низкой ликвидностью: такие активы легко манипулируются, поэтому требуют более жестких ограничений.

Обнаружение фальшивых ордеров: улучшить системы выявления ложных ордеров и «стен покупок», чтобы не допустить ложных сигналов ликвидности.

Более умный HLP: сам HLP может эволюционировать из пассивного торгового партнера в более интеллектуальный механизм, автоматически хеджирующий экстремальные риски на внешних биржах, или даже разделиться на консервативную и более волатильную части.

В целом, ключ — когда кто-то пытается построить позицию, способную разрушить систему, она должна перейти в режим защиты до того, как фонд понесет убытки. Это и есть путь к настоящей устойчивости децентрализованных протоколов.