Як зловмисники XPL використовували правила Hyperliquid, щоб провчити всі DEX на десятки мільйонів доларів?

ChainCatcher
ChainCatcher
XPL+32,82%
ARB-6,22%

Написав: Carrot

Це не хакер, це змова

Два дні тому в Гіперліквіді був поставлений хрестоматійний «точний снайпінг», а головним героєм став токен на ім'я $XPL. Зрештою, зловмисники скористалися масштабною короткою ліквідацією вартістю менше 200 000 доларів, отримавши прибуток у розмірі понад 10 мільйонів доларів.

Найголовніше: це не злом і зловмисник не скористався жодними вразливостями коду.

Замість цього він звертається до того, чим DEX найбільше пишаються – до повної прозорості. Це було полювання на сонці, яке повністю відповідало правилам протоколу. Цей інцидент служить дзеркалом, яке відображає структурні недоліки, що ховаються за гламурним зовнішнім виглядом усіх поточних ончейн бірж (DEX).

Частина I: Трилогія атак: Як відбувається полювання?

Щоб зрозуміти цю атаку, потрібно знати основний механізм обміну безстроковими контрактами: цінові подачі. Простіше кажучи, ф'ючерсній платформі потрібна «реальна ціна», щоб судити про те, хто заробив, хто програв, а кого слід ліквідувати. Ця «реальна ціна» зазвичай надходить із зовнішнього джерела, наприклад, спотового ринку в мережі.

Сценарій зловмисника – це трилогія, яка обертається навколо цього механізму «годування цінами»:

Крок 1: Знайдіть ідеальну здобич
Зловмисник знайшов $XPL. Ідеальна річ у цьому токені полягає в тому, що його безстроковий контракт має обсяг торгів на Hyperliquid, але його спот майже повністю зосереджений на невеликій біржі під назвою Zebra в ланцюжку Arbitrum, а його ліквідність надзвичайно неглибока. Це означає, що потрібно зовсім небагато грошей, щоб підняти спотову ціну до небес.

Крок 2: Ціна джерела забруднення
Згідно з даними в мережі, зловмисник використав близько 184 000 доларів США в WETH, щоб гарячково купити XPL spot на Zebra. Результати були миттєвими: спотова ціна зросла майже у 8 разів за короткий проміжок часу. Механізм подачі ціни Hyperliquid відноситься до цієї спотової ціни, тому «справжня ціна» в контракті успішно заплямована і штучно піднята до сміховинної висоти.

Крок 3: Збирайте коротку армію
Коли ціна контракту стрибає аномально, всі короткі позиції змушені зіткнутися з ліквідацією. На такій платформі, як Hyperliquid, де книга ордерів повністю прозора, це майже напівпублічна таємниця, хто і за якою ціною буде ліквідований. Зловмисник подивився на цю "карту ліквідації" і точно підштовхнув ціну за переломний момент. Велика кількість коротких позицій була змушена закрити свої позиції, а зловмисники, які вже потрапили в засідку, з легкістю заволоділи цими кривавими фішками і в підсумку отримали прибуток у розмірі близько $15 млн.

Частина 2: "Повна прозорість" DEX - це перевага чи прокляття?

Цей інцидент викликав болісне питання: прозорість, якою пишаються DEX, – це добре чи прокляття?

Це гострий палиця з двома кінцями.

Для пересічного користувача прозорість означає справедливість, можливість перевірки та відсутність роботи чорної скриньки. Але в очах зловмисника прозора книга ордерів – це карта атак, а автоматизований смарт-контракт – виконавець автоматичного виконання.

Протокол нейтральний, він не може відрізнити добро від зла. Поки ви граєте за правилами, вони сумлінно виконуються. Цей «абсолютний нейтралітет» стає банкоматом для китів в умовах ринків з низькою ліквідністю. Саме тому, перед обличчям такої відвертої атаки, сама угода безсила.

Частина 3: Отже, чи безпечно ховатися назад на CEX?

Оскільки децентралізовані біржі настільки небезпечні, як щодо того, щоб повернутися в обійми CEX?

CEX мають свої «брандмауери». Суворий KYC, внутрішні команди контролю ризиків та механізми обмеження цін можуть ефективно підвищити складність таких атак. Спроба маніпулювати ціною контракту монети за $200 000 на Binance – це майже фантастика.

Але чи безпечно це? Ні. CEX просто перетворюють ризик із «прозорого зла» на «невидиме зло».

На DEX правила є публічними, а ризик можна обчислити. У CEX ви зіткнулися з чорною скринькою. Ваш найбільший ризик – це вже не зовнішній снайпер, а сам обмін. Історія FTX та Alameda Research є найкращим доказом цього – коли станеться крадіжка охоронця, ви нічого не дізнаєтеся, поки все не стане нулем.

Отже, ключ до питання полягає не в тому, що краще, DEX чи CEX, а в тому, як вчитися на обох і створювати більш розвинений вид.

Частина 4: Пошук відповідей з дна архітектури - Використовуючи QuBitDEX як приклад

$XPL події вчать нас, що недостатньо просто переміщати транзакції в ланцюжок. Майбутнє промисловості має вирішувати ці фундаментальні проблеми з архітектурного рівня.

По-перше, повинен еволюціонувати механізм подачі цін. Єдиний неліквідний спотовий ринок не повинен бути єдиною основою для визначення життя або смерті десятків мільйонів доларів в позиціях. Наприклад, QuBitDEX з самого початку свого проектування вивчила та встановила один з основних принципів, який фундаментально збільшує вартість забруднення в геометричній прогресії шляхом агрегування глибоких потоків даних з кількох провідних CEX та поєднання їх із механізмом середньозваженого за часом (TWAP).

По-друге, абсолютна прозорість потребує переосмислення. Чи є ймовірність, що можна гарантувати як перевірюваність розрахунків, так і конфіденційність політики трейдерів? Це також напрямок, який QuBitDEX досліджує через сумісність із ZK свого рідного рівня 1. Гібридні торгові моделі, такі як темні пули в мережі, можуть ефективно запобігати зловмисному снайпінгу, не жертвуючи фундаментом децентралізованої довіри.

Нарешті, сам протокол повинен стати більш «розумним». Для цього потрібні вбудовані можливості управління ризиками, а не просто пасивний виконавець. Досліджуючи архітектуру, описану в офіційному документі QuBitDEX, її власний рівень штучного інтелекту розроблений як двигун ризиків у режимі реального часу, здатний динамічно аналізувати ринок, виявляти аномальні торгові моделі та інформувати про контроль ризиків на рівні протоколу. Ця практика вбудовування управління ризиками в ДНК протоколу є значним еволюційним напрямком для архітектури DEX.

Остаточний

висновокІнцидент з XPL дав усім урок вартістю в десятки мільйонів доларів: наступне покоління DEX більше не може бути простими репліками в мережі. Майбутнє галузі за протоколами, які можуть глибоко розуміти та усувати ці структурні вразливості.

Справжні інновації походять від платформ, які можуть глибоко синтезувати зрілі концепції контролю ризиків CEX з перевіреним і децентралізованим духовним ядром DEX.

 

Показати оригінал
Відкрити джерело
6,87 тис.
0
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.