Jak útočníci XPL využili pravidla Hyperliquidu k tomu, aby všem DEXům udělili lekci v hodnotě desítek milionů dolarů?
Napsal: Mrkev
To není hacker, to je spiknutí
Před dvěma dny bylo ve hře Hyperliquid zinscenováno "přesné odstřelování" na učebnicové úrovni a hlavním hrdinou byl token zvaný $XPL. Nakonec útočníci využili masivní krátkou likvidaci za cenu nižší než 200 000 USD, čímž dosáhli zisku přes 10 milionů USD.
Nejdůležitější je, že se nejedná o hack a útočník nezneužil žádné zranitelnosti kódu.
Místo toho se zaměřuje na to, na co jsou DEXy nejvíce hrdé – úplnou transparentnost. Byl to lov na slunci, který byl plně v souladu s pravidly protokolu. Tento incident slouží jako zrcadlo, které odráží strukturální slabiny pod okouzlujícím exteriérem všech současných on-chain burz (DEX).
Část I: Trilogie Útok: Jak probíhá lov?
Abyste tomuto útoku porozuměli, musíte znát základní mechanismus výměn permanentních kontraktů: cenové kanály. Jednoduše řečeno, platforma pro futures potřebuje "skutečnou cenu", aby mohla posoudit, kdo vydělal, kdo prohrál a kdo by měl být zlikvidován. Tato "skutečná cena" obvykle pochází z externího zdroje, jako je spotový trh v řetězci.
Útočníkův skript je trilogie, která se točí kolem tohoto mechanismu "krmení cenou":
Krok 1: Najděte perfektní kořist
Útočník našel $XPL. Perfektní na tomto tokenu je, že jeho trvalý kontrakt má objem obchodů na Hyperliquidu, ale jeho spot je téměř výhradně soustředěn na malé burze s názvem Zebra v řetězci Arbitrum a jeho likvidita je extrémně mělká. To znamená, že k vytažení spotové ceny do nebe stačí jen velmi málo peněz.
Krok 2: Zdroj znečištění Cena
Podle údajů z řetězce útočník použil asi $184 000 ve WETH k zběsilému nákupu XPL spotu na Zebře. Výsledky byly okamžité, spotová cena byla během krátké doby vytažena téměř 8x nahoru. Mechanismus cenového kanálu Hyperliquidu odkazuje na tuto spotovou cenu, takže "skutečná cena" ve smlouvě je úspěšně poskvrněna a uměle vytlačena do směšné výše.
Krok 3: Sklizeň krátké armády
Když cena kontraktu abnormálně vzroste, jsou všechny krátké pozice nuceny čelit likvidaci. Na platformě jako je Hyperliquid, kde je kniha objednávek zcela transparentní, je téměř poloveřejným tajemstvím, kdo bude likvidován za jakou cenu. Útočník se podíval na tuto "likvidační mapu" a přesně posunul cenu za bod zvratu. Velké množství krátkých pozic bylo nuceno uzavřít své pozice a útočníci, kteří již byli přepadeni, tyto krvavé žetony snadno vzali a nakonec dosáhli zisku přibližně 15 milionů dolarů.
část 2: Je "plná transparentnost" decentralizovaných burz DEXem výhodou, nebo prokletím?
Tento incident vyvolal duši trýznivou otázku: Je transparentnost, na kterou jsou DEXové hrdí, dobrá věc, nebo prokletí?
Je to ostrý dvousečný meč.
Pro běžného uživatele znamená transparentnost spravedlnost, ověřitelnost a žádnou operaci černé skříňky. V očích útočníka je však transparentní kniha objednávek mapou útoků a automatizovaný chytrý kontrakt je vykonávačem automatického provádění.
Protokol je neutrální, nedokáže rozlišovat mezi dobrem a zlem. Pokud hrajete podle pravidel, je věrně prováděno. Tato "absolutní neutralita" se tváří v tvář trhům s nízkou likviditou stává bankomatem pro velryby. To je důvod, proč je tváří v tvář takovému otevřenému útoku samotná dohoda bezmocná.
Část 3: Je tedy bezpečné se schovat na CEX?
Vzhledem k tomu, že DEX jsou tak nebezpečné, co takhle vrátit se do náruče CEXů?
CEX mají své "firewally". Přísné KYC, interní týmy pro kontrolu rizik a mechanismy cenových limitů mohou účinně zvýšit obtížnost takových útoků. Snažit se manipulovat se smluvní cenou mince za 200 000 $ na Binance je téměř fantazie.
Ale je to bezpečné? Ne. CEX jednoduše mění riziko z "průhledného zla" na "neviditelné zlo".
Na DEXech jsou pravidla veřejná a riziko je vypočitatelné. V CEX stojíte před černou skříňkou. Vaším největším rizikem již není externí odstřelovač, ale samotná burza. Příběh FTX a Alameda Research je toho nejlepším důkazem – když dojde ke krádeži stráže, nebudete vědět nic, dokud nebude vše nulové.
Klíčem k otázce tedy nikdy není, co je lepší, DEX nebo CEX, ale jak se poučit z obou a vytvořit vyvinutější druh.
Část 4: Hledání odpovědí ze spodní části architektury - Použití QuBitDEXu jako příkladu
$XPL události nás učí, že nestačí jen přesouvat transakce do řetězce. Budoucnost průmyslu musí tyto zásadní problémy vyřešit z architektonické roviny.
Za prvé, musí se vyvinout mechanismus krmení cen. Jediný, nelikvidní spotový trh nesmí být jediným základem pro určení životnosti nebo smrti desítek milionů dolarů v pozicích. Například QuBitDEX od začátku svého návrhu prozkoumal a zavedl jeden ze základních principů, který zásadně exponenciálně zvyšuje náklady na ceny znečištění tím, že agreguje hluboké datové toky z více předních CEX a kombinuje je s mechanismem časově váženého průměru (TWAP).
Za druhé, je třeba přehodnotit absolutní transparentnost. Existuje možnost, že lze zaručit ověřitelnost vypořádání i ochranu soukromí zásad obchodníků? To je také směr, kterým se QuBitDEX zabývá prostřednictvím kompatibility se ZK své nativní vrstvy 1. Hybridní obchodní modely, jako jsou on-chain dark pools, mohou účinně zabránit škodlivému odstřelování, aniž by byly obětovány základy decentralizované důvěry.
A konečně, samotný protokol se musí stát "chytřejším". Vyžaduje nativní schopnosti řízení rizik, nejen pasivního vykonavatele. Při zkoumání architektury popsané v whitepaperu QuBitDEX je jeho nativní vrstva umělé inteligence navržena jako motor rizik v reálném čase schopný dynamicky analyzovat trh, identifikovat anomální obchodní vzorce a informovat o řízení rizik na úrovni protokolu. Tato praxe zabudování řízení rizik do DNA protokolu představuje významný evoluční směr pro architekturu DEX.
Konečný závěrIncident
XPL dal všem lekci v hodnotě desítek milionů dolarů: nová generace DEXů již nemůže být jednoduchými replikami v řetězci. Budoucnost tohoto odvětví patří protokolům, které dokážou hluboce pochopit a řešit tyto strukturální zranitelnosti.
Skutečné inovace pocházejí z platforem, které dokážou hluboce syntetizovat vyspělé koncepty řízení rizik CEX s ověřitelným a decentralizovaným duchovním jádrem DEX.