Hur använde XPL-angripare Hyperliquids regler för att lära alla DEX:er en läxa värd tiotals miljoner dollar?

ChainCatcher
ChainCatcher
ARB−6,59 %

Skriven av: Morot

Det här är inte en hacker, det här är en konspiration

För två dagar sedan iscensattes en "precisionsprickskytte" på läroboksnivå i Hyperliquid, och huvudpersonen var en token som heter $XPL. Till slut utnyttjade angriparna en massiv kort likvidation till en kostnad av mindre än 200 000 dollar, vilket gav en vinst på över 10 miljoner dollar.

Det viktigaste är att detta inte är ett hack och att angriparen inte utnyttjade några kodsårbarheter.

Istället tar han fasta på det som DEX:er är mest stolta över – fullständig transparens. Det var en jakt i solen som helt och hållet följde protokollets regler. Denna incident fungerar som en spegel för att återspegla de strukturella svagheterna under den glamorösa utsidan av alla nuvarande on-chain-börser (DEX).

Del I: Attacktrilogin: Hur går jakten till?

För att förstå denna attack måste du känna till en kärnmekanism för eviga kontraktsutbyten: prisflöden. För att uttrycka det enkelt behöver terminsplattformen ett "riktigt pris" för att bedöma vem som har tjänat, vem som har förlorat och vem som bör likvideras. Detta "verkliga pris" kommer vanligtvis från en extern källa, till exempel en spotmarknad på kedjan.

Angriparens skript är en trilogi som kretsar kring denna "prismatningsmekanism":

Steg 1: Hitta det perfekta bytet
Angriparen hittade $XPL. Det perfekta med denna token är att dess eviga kontrakt har handelsvolym på Hyperliquid, men dess plats är nästan helt koncentrerad till en liten börs som heter Zebra på Arbitrum-kedjan, och dess likviditet är extremt grund. Det betyder att det bara krävs väldigt lite pengar för att dra spotpriset till himlen.

Steg 2: Källa till föroreningspris
Enligt on-chain-data använde angriparen cirka 184 000 dollar i WETH för att frenetiskt köpa XPL-spot på Zebra. Resultaten var omedelbara, med spotpriset som drogs upp nästan 8x på kort tid. Hyperliquids prismatningsmekanism hänvisar till detta spotpris, så det "verkliga priset" i kontraktet är framgångsrikt befläckat och artificiellt pressat till en löjlig höjd.

Steg 3: Skörda den korta armén
När kontraktspriset stiger onormalt tvingas alla korta positioner att stå inför likvidation. På en plattform som Hyperliquid, där orderboken är helt transparent, är det nästan en halvoffentlig hemlighet vem som kommer att likvideras till vilket pris. Angriparen tittade på den här "likvidationskartan" och pressade exakt priset förbi tipping point. Ett stort antal korta positioner tvingades stänga sina positioner, och angriparna, som redan hade blivit överfallna, tog lätt dessa blodiga marker och gjorde till slut en vinst på cirka 15 miljoner dollar.

Del 2: Är den "fullständiga transparensen" av DEX:er en fördel eller en förbannelse?

Denna händelse har gett upphov till en själsplågande fråga: Är den transparens som DEX:er är stolta över en bra sak eller en förbannelse?

Det är ett vasst tveeggat svärd.

För den genomsnittlige användaren innebär transparens rättvisa, verifierbarhet och ingen svart låda. Men i angriparens ögon är den transparenta orderboken en attackkarta, och det automatiserade smarta kontraktet är bödeln av automatisk exekvering.

Protokollet är neutralt, det kan inte skilja mellan gott och ont. Så länge du spelar enligt reglerna är det troget utfört. Denna "absoluta neutralitet" blir en uttagsautomat för valar inför marknader med låg likviditet. Det är därför som avtalet i sig är maktlöst inför ett sådant naket angrepp.

Del 3: Så, är det säkert att gömma sig tillbaka på CEX?

Eftersom DEX:er är så farliga, vad sägs om att återvända till CEXs famn?

CEX:er har sina "brandväggar". Strikt KYC, interna riskkontrollteam och prisgränsmekanismer kan effektivt öka svårighetsgraden för sådana attacker. Att försöka manipulera kontraktspriset för ett mynt för 200 000 dollar på Binance är nästan en fantasi.

Men är det säkert? Nej. CEX:er förvandlar helt enkelt risk från en "genomskinlig ondska" till en "osynlig ondska".

På DEX:er är reglerna offentliga och risken är kalkylerbar. I CEX står du inför en svart låda. Din största risk är inte längre en extern prickskytt, utan själva utbytet. Historien om FTX och Alameda Research är det bästa beviset på detta – när en vaktstöld inträffar vet du ingenting förrän allt är noll.

Så nyckeln till frågan är aldrig vilket som är bäst, DEX eller CEX, utan hur man kan lära sig av båda och skapa en mer utvecklad art.

Del 4: Hitta svar från botten av arkitekturen - Med QuBitDEX som exempel

$XPL händelser lär oss att det inte räcker att bara flytta transaktioner på kedjan. Branschens framtid måste lösa dessa grundläggande problem på arkitektonisk nivå.

För det första måste prismatningsmekanismen utvecklas. En enda, illikvid spotmarknad får inte vara den enda grunden för att bestämma liv eller död för tiotals miljoner dollar i positioner. Till exempel har QuBitDEX utforskat och etablerat en av de grundläggande principerna från början av sin design, som i grunden ökar kostnaden för föroreningspriser exponentiellt genom att aggregera djupa dataströmmar från flera ledande CEX:er och kombinera det med en mekanism för tidsviktat genomsnitt (TWAP).

För det andra måste absolut transparens omprövas. Finns det en möjlighet att både verifierbarheten av avvecklingen och integriteten i handlarnas policyer kan garanteras? Detta är också den riktning som QuBitDEX utforskar genom sin inbyggda Layer-1:s ZK-kompatibilitet. Hybridhandelsmodeller som mörka pooler i kedjan kan effektivt förhindra skadlig prickskytte utan att offra grunden för decentraliserat förtroende.

Slutligen måste själva protokollet bli mer "smart". Det kräver inbyggda riskhanteringsfunktioner, inte bara en passiv utförare. Genom att utforska arkitekturen som beskrivs i QuBitDEX whitepaper är dess inbyggda AI-lager utformat som en riskmotor i realtid som kan analysera marknaden dynamiskt, identifiera avvikande handelsmönster och informera om riskkontroll på protokollnivå. Denna praxis att bygga in riskhantering i protokollets DNA representerar en betydande evolutionär riktning för DEX-arkitekturen.

Slutlig slutsatsXPL-incidenten

lärde alla en läxa värd tiotals miljoner dollar: nästa generation DEX kan inte längre vara enkla repliker på kedjan. Branschens framtid tillhör protokoll som på djupet kan förstå och ta itu med dessa strukturella sårbarheter.

Verklig innovation kommer från plattformar som på djupet kan syntetisera de mogna riskkontrollkoncepten för CEX:er med den verifierbara och decentraliserade andliga kärnan av DEX:er.

 

Visa original
Besök källa
6,86 tn
0
Innehållet på den här sidan tillhandahålls av tredje part. Om inte annat anges är OKX inte författare till den eller de artiklar som citeras och hämtar inte någon upphovsrätt till materialet. Innehållet tillhandahålls endast i informationssyfte och representerar inte OKX:s åsikter. Det är inte avsett att vara ett godkännande av något slag och bör inte betraktas som investeringsrådgivning eller en uppmaning att köpa eller sälja digitala tillgångar. I den mån generativ AI används för att tillhandahålla sammanfattningar eller annan information kan sådant AI-genererat innehåll vara felaktigt eller inkonsekvent. Läs den länkade artikeln för mer detaljer och information. OKX ansvarar inte för innehåll som finns på tredje parts webbplatser. Innehav av digitala tillgångar, inklusive stabila kryptovalutor och NFT:er, innebär en hög grad av risk och kan fluktuera kraftigt. Du bör noga överväga om handel med eller innehav av digitala tillgångar är lämpligt för dig mot bakgrund av din ekonomiska situation.