Como os invasores XPL usaram as regras da Hyperliquid para ensinar a todas as DEXs uma lição no valor de dezenas de milhões de dólares?

ChainCatcher
ChainCatcher
ARB-3,98%

Escrito por: Carrot

Isso não é um hacker, isso é uma conspiração

Dois dias atrás, um "sniping de precisão" em nível de livro didático foi encenado no Hyperliquid, e o protagonista era um token chamado $XPL. No final, os invasores alavancaram uma liquidação vendida massiva a um custo de menos de US$ 200.000, obtendo um lucro de mais de US$ 10 milhões.

O mais importante é: isso não é um hack e o invasor não explorou nenhuma vulnerabilidade de código.

Em vez disso, ele explora o que as DEXs mais se orgulham – transparência total. Foi uma caçada ao sol que cumpriu integralmente as regras do protocolo. Este incidente serve como um espelho para refletir as fraquezas estruturais sob o exterior glamoroso de todas as atuais exchanges on-chain (DEXs).

Parte I: Trilogia de Ataques: Como a Caçada Acontece?

Para entender esse ataque, você precisa conhecer um mecanismo central de trocas de contratos perpétuos: feeds de preços. Simplificando, a plataforma de futuros precisa de um "preço real" para julgar quem ganhou, quem perdeu e quem deve ser liquidado. Esse "preço real" geralmente vem de uma fonte externa, como um mercado à vista on-chain.

O script do invasor é uma trilogia que gira em torno desse mecanismo de "alimentação de preços":

Etapa 1: encontre a presa perfeita
O agressor encontrou $XPL. A coisa perfeita sobre este token é que seu contrato perpétuo tem volume de negociação na Hyperliquid, mas seu spot está quase inteiramente concentrado em uma pequena exchange chamada Zebra na cadeia Arbitrum, e sua liquidez é extremamente rasa. Isso significa que é preciso muito pouco dinheiro para puxar o preço à vista para o céu.

Etapa 2: fonte do preço da poluição
De acordo com dados on-chain, o invasor usou cerca de US$ 184.000 em WETH para comprar freneticamente XPL spot na Zebra. Os resultados foram imediatos, com o preço à vista subindo quase 8x em um curto período de tempo. O mecanismo de alimentação de preços da Hyperliquid refere-se a esse preço à vista, de modo que o "preço real" no contrato é contaminado com sucesso e artificialmente empurrado para uma altura ridícula.

Etapa 3: colher o exército curto
Quando o preço do contrato aumenta de forma anormal, todas as posições vendidas são forçadas a enfrentar a liquidação. Em uma plataforma como a Hyperliquid, onde o livro de pedidos é completamente transparente, é quase um segredo semipúblico quem será liquidado a que preço. O invasor olhou para este "mapa de liquidação" e empurrou com precisão o preço além do ponto de inflexão. Um grande número de posições vendidas foi forçado a fechar suas posições, e os atacantes, que já haviam sido emboscados, pegaram facilmente essas fichas sangrentas e finalmente obtiveram um lucro de cerca de US$ 15 milhões.

Parte 2: A "transparência total" das DEXs é uma vantagem ou uma maldição?

Este incidente provocou uma pergunta torturante: a transparência que as DEXs se orgulham é uma coisa boa ou uma maldição?

É uma faca afiada de dois gumes.

Para o usuário médio, transparência significa justiça, verificabilidade e nenhuma operação de caixa preta. Mas, aos olhos do invasor, o livro de pedidos transparente é um mapa de ataque, e o contrato inteligente automatizado é o executor da execução automática.

O protocolo é neutro, não consegue distinguir entre o bem e o mal. Contanto que você jogue de acordo com as regras, ele é executado fielmente. Essa "neutralidade absoluta" se torna um caixa eletrônico para as baleias diante dos mercados de baixa liquidez. É por isso que, diante de um ataque tão nu, o próprio acordo é impotente.

Parte 3: Então, é seguro se esconder na CEX?

Já que as DEXs são tão perigosas, que tal voltar a abraçar as CEXs?

As CEXs têm seus "firewalls". KYC estrito, equipes internas de controle de risco e mecanismos de limite de preço podem aumentar efetivamente a dificuldade de tais ataques. Tentar manipular o preço do contrato de uma moeda por US$ 200.000 na Binance é quase uma fantasia.

Mas é seguro? Não. As CEXs simplesmente transformam o risco de um "mal transparente" em um "mal invisível".

Nas DEXs, as regras são públicas e o risco é calculável. Na CEX, você está diante de uma caixa preta. Seu maior risco não é mais um atirador externo, mas a própria exchange. A história da FTX e da Alameda Research é a melhor prova disso – quando ocorre um roubo de guarda, você não saberá nada até que tudo seja zero.

Portanto, a chave para a questão nunca é o que é melhor, DEX ou CEX, mas como aprender com ambos e criar uma espécie mais evoluída.

Parte 4: Encontrando respostas na parte inferior da arquitetura - Usando o QuBitDEX como exemplo

$XPL os eventos nos ensinam que não basta apenas mover as transações on-chain. O futuro da indústria deve resolver esses problemas fundamentais do nível arquitetônico.

Primeiro, o mecanismo de alimentação de preços deve evoluir. Um único mercado à vista ilíquido não deve ser a única base para determinar a vida ou a morte de dezenas de milhões de dólares em posições. Por exemplo, o QuBitDEX explorou e estabeleceu um dos princípios fundamentais desde o início de seu projeto, que aumenta exponencialmente o custo dos preços da poluição, agregando fluxos de dados profundos de vários CEXs líderes e combinando-os com um mecanismo de média ponderada no tempo (TWAP).

Em segundo lugar, a transparência absoluta precisa ser repensada. Existe a possibilidade de que tanto a verificabilidade da liquidação quanto a privacidade das políticas dos traders possam ser garantidas? Essa também é a direção que a QuBitDEX está explorando por meio da compatibilidade ZK de sua camada 1 nativa. Modelos de negociação híbridos, como dark pools on-chain, podem efetivamente impedir sniping malicioso sem sacrificar a base da confiança descentralizada.

Finalmente, o próprio protocolo deve se tornar mais "inteligente". Requer recursos nativos de gerenciamento de risco, não apenas um executor passivo. Explorando a arquitetura descrita no whitepaper QuBitDEX, sua camada nativa de IA foi projetada como um mecanismo de risco em tempo real capaz de analisar dinamicamente o mercado, identificar padrões de negociação anômalos e informar o controle de risco no nível do protocolo. Essa prática de incorporar o gerenciamento de riscos no DNA do protocolo representa uma direção evolutiva significativa para a arquitetura DEX.

Conclusão finalO

incidente XPL ensinou a todos uma lição no valor de dezenas de milhões de dólares: a próxima geração de DEXs não pode mais ser simples réplicas on-chain. O futuro da indústria pertence a protocolos que podem entender e abordar profundamente essas vulnerabilidades estruturais.

A verdadeira inovação vem de plataformas que podem sintetizar profundamente os conceitos maduros de controle de risco das CEXs com o núcleo espiritual verificável e descentralizado das DEXs.

 

Mostrar original
Acessar a fonte
6,64 mil
0
O conteúdo desta página é fornecido por terceiros. A menos que especificado de outra forma, a OKX não é a autora dos artigos mencionados e não reivindica direitos autorais sobre os materiais apresentados. O conteúdo tem um propósito meramente informativo e não representa as opiniões da OKX. Ele não deve ser interpretado como um endosso ou aconselhamento de investimento de qualquer tipo, nem como uma recomendação para compra ou venda de ativos digitais. Quando a IA generativa é utilizada para criar resumos ou outras informações, o conteúdo gerado pode apresentar imprecisões ou incoerências. Leia o artigo vinculado para mais detalhes e informações. A OKX não se responsabiliza pelo conteúdo hospedado em sites de terceiros. Possuir ativos digitais, como stablecoins e NFTs, envolve um risco elevado e pode apresentar flutuações significativas. Você deve ponderar com cuidado se negociar ou manter ativos digitais é adequado para sua condição financeira.