Hvordan brukte XPL-angripere Hyperliquids regler for å lære alle DEX-er en lekse verdt titalls millioner dollar?

ChainCatcher
ChainCatcher
ARB−6,59 %

Skrevet av: Gulrot

Dette er ikke en hacker, dette er en konspirasjon

For to dager siden ble en "presisjonssnikskyting" på læreboknivå iscenesatt i Hyperliquid, og hovedpersonen var et token kalt $XPL. Til slutt utnyttet angriperne en massiv kort likvidasjon til en kostnad på mindre enn 200 000 dollar, og ga en fortjeneste på over 10 millioner dollar.

Det viktigste er: dette er ikke et hack, og angriperen utnyttet ingen kodesårbarheter.

I stedet benytter han seg av det DEX-er er mest stolte av – fullstendig åpenhet. Det var en jakt i solen som fullt ut overholdt reglene i protokollen. Denne hendelsen fungerer som et speil for å gjenspeile de strukturelle svakhetene under det glamorøse eksteriøret til alle nåværende kjedebørser (DEX).

Del I: Angrepstrilogien: Hvordan skjer jakten?

For å forstå dette angrepet, må du kjenne til en kjernemekanisme for evigvarende kontraktsutvekslinger: prisfeeds. For å si det enkelt, futures-plattformen trenger en "reell pris" for å bedømme hvem som har tjent, hvem som har tapt og hvem som bør avvikles. Denne "reelle prisen" kommer vanligvis fra en ekstern kilde, for eksempel et spotmarked på kjeden.

Angriperens manus er en trilogi som dreier seg om denne «prisfôring»-mekanismen:

Trinn 1: Finn det perfekte byttet
Angriperen fant $XPL. Det perfekte med dette tokenet er at den evigvarende kontrakten har handelsvolum på Hyperliquid, men stedet er nesten utelukkende konsentrert om en liten børs kalt Zebra på Arbitrum-kjeden, og likviditeten er ekstremt grunn. Dette betyr at det bare skal svært lite penger til for å trekke spotprisen til himmels.

Trinn 2: Kilde til forurensningspris
I følge data på kjeden brukte angriperen rundt $184 000 i WETH for febrilsk å kjøpe XPL-spot på Zebra. Resultatene var umiddelbare, og spotprisen ble trukket opp nesten 8 ganger på kort tid. Hyperliquids prismatingsmekanisme refererer til denne spotprisen, så den "sanne prisen" i kontrakten er vellykket tilsmusset og kunstig presset til en latterlig høyde.

Trinn 3: Høst den korte hæren
Når kontraktsprisen stiger unormalt, blir alle shortposisjoner tvunget til å møte avvikling. På en plattform som Hyperliquid, hvor ordreboken er helt gjennomsiktig, er det nesten en semi-offentlig hemmelighet hvem som vil bli likvidert til hvilken pris. Angriperen så på dette "likvidasjonskartet" og presset prisen nøyaktig forbi vippepunktet. Et stort antall korte posisjoner ble tvunget til å stenge sine posisjoner, og angriperne, som allerede hadde blitt overfalt, tok lett disse blodige sjetongene og fikk til slutt en fortjeneste på rundt 15 millioner dollar.

Del 2: Er "full åpenhet" av DEX-er en fordel eller en forbannelse?

Denne hendelsen har utløst et sjelepinefullt spørsmål: Er åpenheten om at DEX-er stolthet over en god ting eller en forbannelse?

Det er et skarpt tveegget sverd.

For den gjennomsnittlige brukeren betyr åpenhet rettferdighet, verifiserbarhet og ingen black box-operasjon. Men i angriperens øyne er den gjennomsiktige ordreboken et angrepskart, og den automatiserte smarte kontrakten er utøveren av automatisk utførelse.

Protokollen er nøytral, den kan ikke skille mellom godt og ondt. Så lenge du spiller etter reglene, blir det trofast utført. Denne "absolutte nøytraliteten" blir en minibank for hvaler i møte med markeder med lav likviditet. Dette er grunnen til at selve avtalen er maktesløs i møte med et slikt nakent angrep.

Del 3: Så, er det trygt å gjemme seg tilbake på CEX?

Siden DEX-er er så farlige, hva med å gå tilbake til omfavnelsen av CEX-er?

CEX-er har sine "brannmurer". Streng KYC, interne risikokontrollteam og prisgrensemekanismer kan effektivt øke vanskeligheten med slike angrep. Å prøve å manipulere kontraktsprisen på en mynt for $200 000 på Binance er nesten en fantasi.

Men er det trygt? Nei. CEX-er snur ganske enkelt risiko fra et «gjennomsiktig onde» til et «usynlig onde».

På DEX-er er reglene offentlige, og risikoen er kalkulerbar. I CEX står du overfor en svart boks. Din største risiko er ikke lenger en ekstern snikskytter, men selve børsen. Historien om FTX og Alameda Research er det beste beviset på dette – når et vakttyveri skjer, vil du ikke vite noe før alt er null.

Så nøkkelen til spørsmålet er aldri hva som er best, DEX eller CEX, men hvordan man kan lære av begge og skape en mer utviklet art.

Del 4: Finne svar fra bunnen av arkitekturen - Ved å bruke QuBitDEX som et eksempel

$XPL lærer hendelser oss at det ikke er nok å bare flytte transaksjoner på kjeden. Industriens fremtid må løse disse grunnleggende problemene fra det arkitektoniske nivået.

For det første må prismatingsmekanismen utvikle seg. Et enkelt, illikvid spotmarked må ikke være det eneste grunnlaget for å bestemme liv eller død for titalls millioner dollar i posisjoner. For eksempel har QuBitDEX utforsket og etablert et av kjerneprinsippene fra begynnelsen av designet, som fundamentalt øker kostnadene for forurensningspriser eksponentielt ved å samle dype datastrømmer fra flere ledende CEX-er og kombinere det med en tidsvektet gjennomsnittsmekanisme (TWAP).

For det andre må absolutt åpenhet tenkes på nytt. Er det en mulighet for at både verifiserbarheten av oppgjøret og personvernet til handelsmenns retningslinjer kan garanteres? Dette er også retningen QuBitDEX utforsker gjennom sin opprinnelige Layer-1s ZK-kompatibilitet. Hybride handelsmodeller som on-chain dark pools kan effektivt forhindre ondsinnet snikskyting uten å ofre grunnlaget for desentralisert tillit.

Til slutt må selve protokollen bli mer "smart". Det krever innebygde risikostyringsfunksjoner, ikke bare en passiv utfører. Ved å utforske arkitekturen beskrevet i QuBitDEX-hvitboken, er det opprinnelige AI-laget designet som en sanntidsrisikomotor som er i stand til dynamisk å analysere markedet, identifisere unormale handelsmønstre og informere risikokontroll på protokollnivå. Denne praksisen med å bygge risikostyring inn i protokollens DNA representerer en betydelig evolusjonær retning for DEX-arkitektur.

Endelig konklusjonXPL-hendelsen

lærte alle en lekse verdt titalls millioner dollar: neste generasjon DEX-er kan ikke lenger være enkle replikaer på kjeden. Fremtiden til bransjen tilhører protokoller som dypt kan forstå og adressere disse strukturelle sårbarhetene.

Ekte innovasjon kommer fra plattformer som dypt kan syntetisere de modne risikokontrollkonseptene til CEX-er med den verifiserbare og desentraliserte åndelige kjernen til DEX-er.

 

Vis originalen
Gå til kilde
6,88k
0
Innholdet på denne siden er levert av tredjeparter. Med mindre annet er oppgitt, er ikke OKX forfatteren av de siterte artikkelen(e) og krever ingen opphavsrett til materialet. Innholdet er kun gitt for informasjonsformål og representerer ikke synspunktene til OKX. Det er ikke ment å være en anbefaling av noe slag og bør ikke betraktes som investeringsråd eller en oppfordring om å kjøpe eller selge digitale aktiva. I den grad generativ AI brukes til å gi sammendrag eller annen informasjon, kan slikt AI-generert innhold være unøyaktig eller inkonsekvent. Vennligst les den koblede artikkelen for mer detaljer og informasjon. OKX er ikke ansvarlig for innhold som er vert på tredjeparts nettsteder. Beholdning av digitale aktiva, inkludert stablecoins og NFT-er, innebærer en høy grad av risiko og kan svinge mye. Du bør nøye vurdere om handel eller innehav av digitale aktiva passer for deg i lys av din økonomiske tilstand.