Как злоумышленники XPL использовали правила Hyperliquid, чтобы преподать всем DEX урок стоимостью в десятки миллионов долларов?

ChainCatcher
ChainCatcher
ARB-6,22 %

Автор: Carrot

Это не хакер, это заговор

Два дня назад в Hyperliquid был устроен «точный снайпинг» на уровне учебника, а главным героем стал токен под названием $XPL. В конце концов, злоумышленники провели масштабную короткую ликвидацию стоимостью менее 200 000 долларов, получив прибыль в размере более 10 миллионов долларов.

Самое главное: это не взлом и злоумышленник не эксплуатировал никаких уязвимостей в коде.

Вместо этого он обращается к тому, чем DEX гордятся больше всего — к полной прозрачности. Это была охота на солнце, которая полностью соответствовала правилам протокола. Этот инцидент служит зеркалом, отражающим структурные слабости, скрывающиеся за гламурным внешним видом всех текущих ончейн-бирж (DEX).

Часть I: Трилогия «Нападение»: Как происходит охота?

Чтобы понять эту атаку, вам нужно знать основной механизм обмена бессрочными контрактами: потоки цен. Проще говоря, фьючерсной платформе нужна «реальная цена», чтобы судить, кто заработал, кто проиграл, а кого следует ликвидировать. Эта «реальная цена» обычно поступает из внешнего источника, например, из спотового рынка в сети.

Сценарий злоумышленника представляет собой трилогию, которая вращается вокруг этого механизма «подкачки цен»:

Шаг 1: Найдите идеальную добычу
Злоумышленник обнаружил $XPL. Идеальной особенностью этого токена является то, что его бессрочный контракт имеет объем торгов на Hyperliquid, но его спот почти полностью сосредоточен на небольшой бирже под названием Zebra в цепочке Arbitrum, а его ликвидность чрезвычайно мала. Это означает, что требуется совсем немного денег, чтобы поднять спотовую цену до небес.

Шаг 2: Источник загрязнения
Цена Согласно ончейн-данным, злоумышленник использовал около 184 000 долларов в WETH, чтобы лихорадочно купить XPL на Zebra. Результаты не заставили себя ждать: спотовая цена выросла почти в 8 раз за короткий промежуток времени. Механизм подачи цен Hyperliquid относится к этой спотовой цене, поэтому «истинная цена» в контракте успешно испорчена и искусственно завышена.

Шаг 3: Соберите урожай для короткой армии
Когда цена контракта аномально растет, все короткие позиции вынуждены быть ликвидированы. На такой платформе, как Hyperliquid, где книга ордеров полностью прозрачна, это почти полупубличный секрет, кто и по какой цене будет ликвидирован. Злоумышленник посмотрел на эту «карту ликвидации» и точно протолкнул цену за переломный момент. Большое количество коротких позиций было вынуждено закрыть свои позиции, а злоумышленники, которые уже попали в засаду, легко забрали эти кровавые фишки и в итоге получили прибыль в размере около 15 миллионов долларов.

Часть 2: "Полная прозрачность" DEX - это преимущество или проклятие?

Этот инцидент вызвал душераздирающий вопрос: является ли прозрачность, которой гордятся DEX, хорошей вещью или проклятием?

Это острый обоюдоострый меч.

Для обычного пользователя прозрачность означает справедливость, проверяемость и отсутствие работы черного ящика. Но в глазах злоумышленника прозрачная книга ордеров — это карта атаки, а автоматизированный смарт-контракт — исполнитель автоматического исполнения.

Протокол нейтрален, он не может отличить добро от зла. Пока вы играете по правилам, они добросовестно выполняются. Этот «абсолютный нейтралитет» становится банкоматом для китов в условиях низколиквидных рынков. Вот почему, перед лицом такой неприкрытой атаки, само соглашение бессильно.

Часть 3: Итак, безопасно ли прятаться на CEX?

Поскольку DEX настолько опасны, как насчет того, чтобы вернуться в объятия CEX?

У CEX есть свои «брандмауэры». Строгий KYC, внутренние команды по контролю рисков и механизмы ограничения цен могут эффективно увеличить сложность таких атак. Попытка манипулировать контрактной ценой монеты за $200 000 на Binance — это почти фантастика.

Но безопасно ли это? Нет. CEX просто превращают риск из «прозрачного зла» в «невидимое зло».

На DEX правила являются общедоступными, а риск можно просчитать. В CEX вы столкнулись с черным ящиком. Ваш самый большой риск — это уже не внешний снайпер, а сама биржа. История FTX и Alameda Research является лучшим доказательством этого — когда происходит кража охраны, вы ничего не узнаете, пока все не станет нулевым.

Таким образом, ключ к вопросу не в том, что лучше, DEX или CEX, а в том, как учиться у обоих и создавать более развитые виды.

Часть 4: Поиск ответов с самого низа архитектуры - Используя QuBitDEX в качестве примера

$XPL события учат нас, что недостаточно просто перемещать транзакции по цепочке. Будущее отрасли должно решить эти фундаментальные проблемы на архитектурном уровне.

Во-первых, должен развиться механизм ценообразования. Один, неликвидный спотовый рынок не должен быть единственной основой для определения жизни или смерти десятков миллионов долларов в позициях. Например, QuBitDEX с самого начала своей разработки исследовала и установила один из основных принципов, который фундаментально увеличивает стоимость цен на загрязнение в геометрической прогрессии за счет агрегирования глубоких потоков данных от нескольких ведущих CEX и объединения их с механизмом средневзвешенного по времени (TWAP).

Во-вторых, необходимо переосмыслить абсолютную прозрачность. Существует ли вероятность того, что будет гарантирована как проверяемость расчетов, так и конфиденциальность политик трейдеров? Это также направление, которое QuBitDEX изучает благодаря своей собственной совместимости с ZK уровня 1. Гибридные торговые модели, такие как ончейн-даркпулы, могут эффективно предотвращать злонамеренный снайпинг, не жертвуя основой децентрализованного доверия.

Наконец, сам протокол должен стать более «умным». Для этого требуются встроенные возможности управления рисками, а не только пассивный исполнитель. Исследуя архитектуру, описанную в техническом документе QuBitDEX, его собственный уровень искусственного интеллекта разработан как механизм управления рисками в режиме реального времени, способный динамически анализировать рынок, выявлять аномальные торговые модели и информировать о контроле рисков на уровне протокола. Такая практика встраивания управления рисками в ДНК протокола представляет собой важное эволюционное направление для архитектуры DEX.

Окончательный выводИнцидент

с XPL преподал всем урок стоимостью в десятки миллионов долларов: следующее поколение DEX больше не может быть простыми ончейн-репликами. Будущее отрасли принадлежит протоколам, которые могут глубоко понять и устранить эти структурные уязвимости.

Настоящие инновации исходят от платформ, которые могут глубоко синтезировать зрелые концепции контроля рисков CEX с проверяемым и децентрализованным духовным ядром DEX.

 

Показать оригинал
Перейти к источнику
6,87 тыс.
0
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.