In che modo gli aggressori XPL hanno utilizzato le regole di Hyperliquid per dare a tutti i DEX una lezione del valore di decine di milioni di dollari?

Scritto da: Carrot

Questo non è un hacker, questa è una cospirazione

Due giorni fa, in Hyperliquid è stato messo in scena un "precision sniping" a livello di manuale, e il protagonista era un token chiamato $XPL. Alla fine, gli aggressori hanno sfruttato una massiccia liquidazione short al costo di meno di $ 200.000, realizzando un profitto di oltre $ 10 milioni.

La cosa più importante è: questo non è un hack e l'aggressore non ha sfruttato alcuna vulnerabilità del codice.

Invece, attinge a ciò di cui i DEX sono più orgogliosi: la completa trasparenza. È stata una caccia al sole che ha rispettato pienamente le regole del protocollo. Questo incidente funge da specchio per riflettere le debolezze strutturali sotto l'aspetto glamour di tutti gli attuali exchange on-chain (DEX).

Parte I: Trilogia dell'attacco: come si svolge la caccia?

Per comprendere questo attacco, è necessario conoscere un meccanismo fondamentale degli scambi di contratti perpetui: i feed di prezzo. Per dirla semplicemente, la piattaforma dei futures ha bisogno di un "prezzo reale" per giudicare chi ha guadagnato, chi ha perso e chi dovrebbe essere liquidato. Questo "prezzo reale" di solito proviene da una fonte esterna, come un mercato spot on-chain.

Lo script dell'aggressore è una trilogia che ruota attorno a questo meccanismo di "alimentazione dei prezzi":

Passaggio 1: trova la preda perfetta
L'aggressore ha trovato $XPL. La cosa perfetta di questo token è che il suo contratto perpetuo ha un volume di scambi su Hyperliquid, ma il suo spot è quasi interamente concentrato su un piccolo exchange chiamato Zebra sulla catena Arbitrum, e la sua liquidità è estremamente bassa. Ciò significa che ci vogliono solo pochissimi soldi per far salire il prezzo spot alle stelle.

Passaggio 2: fonte del prezzo dell'inquinamento
Secondo i dati on-chain, l'aggressore ha utilizzato circa $ 184.000 in WETH per acquistare freneticamente spot XPL su Zebra. I risultati sono stati immediati, con il prezzo spot che è salito di quasi 8 volte in un breve periodo di tempo. Il meccanismo di alimentazione dei prezzi di Hyperliquid si riferisce a questo prezzo spot, quindi il "prezzo reale" nel contratto viene contaminato con successo e spinto artificialmente a un'altezza ridicola.

Passaggio 3: raccogli l'esercito corto
Quando il prezzo del contratto aumenta in modo anomalo, tutte le posizioni corte sono costrette ad affrontare la liquidazione. Su una piattaforma come Hyperliquid, dove l'order book è completamente trasparente, è quasi un segreto semi-pubblico chi verrà liquidato a quale prezzo. L'aggressore ha esaminato questa "mappa di liquidazione" e ha spinto con precisione il prezzo oltre il punto di svolta. Un gran numero di posizioni corte sono state costrette a chiudere le loro posizioni, e gli aggressori, che erano già stati oggetto di un'imboscata, hanno facilmente preso queste maledette fiches e alla fine hanno realizzato un profitto di circa 15 milioni di dollari.

Parte 2: La "piena trasparenza" dei DEX è un vantaggio o una maledizione?

Questo incidente ha scatenato una domanda che tortura l'anima: la trasparenza di cui i DEX sono orgogliosi è una buona cosa o una maledizione?

È un'arma affilata a doppio taglio.

Per l'utente medio, trasparenza significa equità, verificabilità e nessuna operazione con la scatola nera. Ma agli occhi dell'aggressore, l'order book trasparente è una mappa di attacco e lo smart contract automatizzato è l'esecutore dell'esecuzione automatica.

Il protocollo è neutrale, non può distinguere tra bene e male. Finché si gioca secondo le regole, viene eseguito fedelmente. Questa "neutralità assoluta" diventa un bancomat per le balene di fronte a mercati a bassa liquidità. Questo è il motivo per cui, di fronte a un attacco così nudo, l'accordo stesso è impotente.

Parte 3: Quindi, è sicuro nascondersi su CEX?

Dato che i DEX sono così pericolosi, che ne dici di tornare all'abbraccio dei CEX?

I CEX hanno i loro "firewall". Un rigoroso KYC, team interni di controllo del rischio e meccanismi di limitazione dei prezzi possono aumentare efficacemente la difficoltà di tali attacchi. Cercare di manipolare il prezzo del contratto di una moneta per $ 200.000 su Binance è quasi una fantasia.

Ma è sicuro? No. I CEX trasformano semplicemente il rischio da un "male trasparente" in un "male invisibile".

Sui DEX, le regole sono pubbliche e il rischio è calcolabile. In CEX, ci si trova di fronte a una scatola nera. Il tuo rischio più grande non è più un cecchino esterno, ma l'exchange stesso. La storia di FTX e Alameda Research ne è la prova migliore: quando si verifica un furto di guardie, non saprai nulla fino a quando tutto non sarà zero.

Quindi, la chiave della domanda non è mai quale sia il migliore, DEX o CEX, ma come imparare da entrambi e creare una specie più evoluta.

Parte 4: Trovare risposte dal fondo dell'architettura - Utilizzando QuBitDEX come esempio

$XPL gli eventi ci insegnano che non è sufficiente spostare le transazioni on-chain. Il futuro dell'industria deve risolvere questi problemi fondamentali a livello architettonico.

In primo luogo, il meccanismo di alimentazione dei prezzi deve evolversi. Un unico mercato spot illiquido non deve essere l'unica base per determinare la vita o la morte di decine di milioni di dollari in posizioni. Ad esempio, QuBitDEX ha esplorato e stabilito uno dei principi fondamentali fin dall'inizio della sua progettazione, che aumenta sostanzialmente il costo dei prezzi dell'inquinamento in modo esponenziale aggregando flussi di dati profondi provenienti da più CEX leader e combinandoli con un meccanismo di media ponderata nel tempo (TWAP).

In secondo luogo, la trasparenza assoluta deve essere ripensata. Esiste la possibilità che sia la verificabilità del regolamento che la privacy delle politiche dei trader possano essere garantite? Questa è anche la direzione che QuBitDEX sta esplorando attraverso la compatibilità ZK del suo Layer-1 nativo. I modelli di trading ibridi come le dark pool on-chain possono prevenire efficacemente lo sniping dannoso senza sacrificare le fondamenta della fiducia decentralizzata.

Infine, il protocollo stesso deve diventare più "smart". Richiede capacità di gestione del rischio native, non solo un esecutore passivo. Esplorando l'architettura descritta nel whitepaper QuBitDEX, il suo livello di intelligenza artificiale nativo è progettato come un motore di rischio in tempo reale in grado di analizzare dinamicamente il mercato, identificare modelli di trading anomali e informare il controllo del rischio a livello di protocollo. Questa pratica di integrare la gestione del rischio nel DNA del protocollo rappresenta una direzione evolutiva significativa per l'architettura DEX.

Conclusione finaleL'incidente

di XPL ha insegnato a tutti una lezione del valore di decine di milioni di dollari: la prossima generazione di DEX non può più essere costituita da semplici repliche on-chain. Il futuro del settore appartiene a protocolli in grado di comprendere e affrontare a fondo queste vulnerabilità strutturali.

La vera innovazione deriva da piattaforme in grado di sintetizzare profondamente i concetti maturi di controllo del rischio dei CEX con il nucleo spirituale verificabile e decentralizzato dei DEX.

6.869

Il contenuto di questa pagina è fornito da terze parti. Salvo diversa indicazione, OKX non è l'autore degli articoli citati e non rivendica alcun copyright sui materiali. Il contenuto è fornito solo a scopo informativo e non rappresenta le opinioni di OKX. Non intende essere un'approvazione di alcun tipo e non deve essere considerato un consiglio di investimento o una sollecitazione all'acquisto o alla vendita di asset digitali. Nella misura in cui l'IA generativa viene utilizzata per fornire riepiloghi o altre informazioni, tale contenuto generato dall'IA potrebbe essere impreciso o incoerente. Leggi l'articolo collegato per ulteriori dettagli e informazioni. OKX non è responsabile per i contenuti ospitati su siti di terze parti. Gli holding di asset digitali, tra cui stablecoin e NFT, comportano un elevato grado di rischio e possono fluttuare notevolmente. Dovresti valutare attentamente se effettuare il trading o detenere asset digitali è adatto a te alla luce della tua situazione finanziaria.