Obavy o bezpečnost vyplývají ze zpráv o peněženkách spojených s DPRK
Hyperliquid Labs, decentralizovaná platforma pro obchodování s perpetuálními futures, důrazně popřela tvrzení o tom, že byla zneužita peněženkami spojenými s hackery z Severní Koreje.
Obavy se objevily poté, co expert na bezpečnost MetaMask Taylor Monahan uvedl, že označené peněženky spojené se Severní Koreou provedly obchody na Hyperliquid, což vedlo k likvidacím přesahujícím $700,000 - což je pro státem sponzorované hackery neobvykle malá částka.
Několik označených adres severokorejských hackerů nedávno obchodovalo na Hyperliquid, s celkovou ztrátou více než $700,000, podle @tayvano_. Někteří členové komunity mají obavy, že tyto obchodní aktivity mohou znamenat, že severokorejští hackeři identifikovali…
— Wu Blockchain (@WuBlockchain) 23. prosince 2024
Kontroverze vzrostla, když Monahan naznačil, že aktivita byla pravděpodobně snahou o průzkum, přičemž hackeři testovali obrany Hyperliquid v přípravě na potenciální útok.
Tyto obavy vyvolaly vlnu výběrů, přičemž více než $194 milionů v USDC bylo vyvedeno z platformy během jediného dne, podle analytické tabule Hasheds Dune.
Monahan také zdůraznil zranitelnost platformy kvůli jejímu vysoce centralizovanému souboru validátorů, který se skládá pouze ze čtyř validátorů.
V následném prohlášení Monahan naléhal na Hyperliquid, aby okamžitě podnikla kroky k posílení svých obranných mechanismů, zdůrazňujíc naléhavost řešení těchto bezpečnostních obav.
Možný hack Hyperliquid?
Spekulace o potenciálním hacku Hyperliquid zůstávají nepotvrzené, ale pokud by k němu mělo dojít, tady je, jak by to mohlo probíhat.
Útok na smlouvu mostu Hyperliquid by vyžadoval kompromitaci tří ze čtyř validátorů, což by dosáhlo potřebného dvoutřetinového kvóra.
Pokud by byli úspěšní, mohli by hackeři zkusit převést nativně emitované USDC na Arbitrum.
Nicméně Circle, emitent USDC, by teoreticky mohl tyto prostředky zmrazit - za předpokladu, že obdrží a rychle jedná na základě soudních příkazů.
Tento právní proces, často pomalý, by mohl poskytnout zkušeným hackerům okno potřebné k převodu ukradených aktiv na nesmazatelné tokeny jako ETH.
Alternativně by mohli vyměnit ukradené USDC za Ethereum-nativní USDC.e tokeny a převést je na hlavní síť Ethereum.
Každý chtěl, aby Hyperliquid reagoval na obvinění z nadcházejícího hacku, tak tady to je.
TDLR: žádné zneužití, všechny prostředky jsou safu. Pokud bude zranitelnost nalezena, tým je vždy ochoten naslouchat, protože mají program odměn za chyby. pic.twitter.com/VHYeUogvxs
— steven.hl (@stevenyuntcap) 23. prosince 2024
Matt Fiebach z Entropy Advisors vysvětlil:
„Jediná rozumná cesta, která by umožnila bezpečnostní radě Arbitrum fungovat jako obranná linie, by byla, kdyby se hackeři pokusili vybrat prostředky prostřednictvím kanonického mostu, pravděpodobně po výměně za ETH.“
Dodává:
„V tomto scénáři by zvolená bezpečnost Arbitrum musela učinit rozhodnutí, zda efektivně zablokovat tuto transakci, což spadá do jejich rozsahu 'řešení kritických rizik spojených s protokolem Arbitrum a jeho ekosystémem'.”
Omezení likvidity by také představovala významné překážky.
Aby hackeři uvolnili $2 miliardy v ukradených prostředcích, museli by rozložit transakce přes různé třetí strany, což by způsobilo značný slippage.
Prithvir Jhaveri, zakladatel a CEO společnosti Loch, platformy pro analýzu kryptoměnového portfolia, vytyčil provozní a regulační rizika, kterým Hyperliquid čelí.
Jhaveri poukázal na zranitelnosti vyplývající z toho, že platforma spoléhá pouze na čtyři validátory, a zdůraznil potenciální regulační porušení, včetně porušení sankcí OFAC USA a předpisů SEC.
[Varování] @HyperliquidX čelí vážným rizikům.
Uložil jsem je v sestupném pořadí s logikou mitigace, kde je to možné.
1. OpSec
2. OFAC
3. SEC
4. Koncentrace vaultu market-makera
5. Zhoršení výkonu
6. Poměr FDV k Float
1. Riziko OpSec
Peněženka… pic.twitter.com/pdU1zX5X5T
— Prithvir (@Prithvir12) 23. prosince 2024
Tato rizika jsou zesílena interakcí Hyperliquid s entitami v sankcionovaných oblastech a jejím potenciálním zařazením jako neregistrovaného brokera.
Hyperliquid popírá tvrzení o zneužití, ale ne všichni jsou přesvědčeni
Hyperliquid Labs reagoval na nedávná obvinění prostřednictvím svého kanálu Discord, důrazně popírajíc jakýkoliv hack nebo zneužití spojené s adresami napojenými na DPRK.
Hyperliquid zdůraznil svůj závazek k provozní bezpečnosti, uvádějíc robustní program odměn za chyby a dodržování průmyslových standardů v analýze blockchainu.
Tým ujistil uživatele, že nebyly odhaleny žádné zranitelnosti ze strany bezpečnostních výzkumníků nebo třetích stran a všechny prostředky zůstávají zabezpečené navzdory obavám ohledně podezřelé obchodní aktivity.
Hyperliquid Labs: Jsme si vědomi zpráv, které kolují ohledně aktivity předpokládaných adres DPRK. Nebylo zde žádné zneužití DPRK - nebo jakékoliv zneužití, co se týče Hyperliquid. Všechny uživatelské prostředky jsou v pořádku. Hyperliquid Labs bere opsec vážně. Nebyly odhaleny žádné zranitelnosti… https://t.co/VI46V2O00g
— Wu Blockchain (@WuBlockchain) 23. prosince 2024
Nicméně ne každý je přesvědčen.
Nassim Eddequiouaq, kryptový vývojář a bývalý vedoucí informační bezpečnosti kryptotýmu Andreessen Horowitz, vyjádřil obavy, že severokorejští hackeři by již mohli být uvnitř infrastruktury Hyperliquid a strategizovat efektivnější zneužití.
Pracoval jsem přímo na největším hacku mostu DPRK vůbec (Ronin), pomáhal jsem sledovat hackery mostu BSC off-chain a byl jsem v Apple v bezpečnostním týmu v době spyware Pegasus, takže se považuji za jakéhosi experta.
Doporučil bych týmu @HyperliquidX, aby udělal… https://t.co/y0aqUAqWJb
— Nass Eddequiouaq (@nassyweazy) 23. prosince 2024
Zatímco někteří v kryptokomunitě se ozvali s těmito varováními, jiní je odmítli jako „psyop“ zaměřenou na poškození reputace Hyperliquid.
brácho, to není tak vážné. Tay je jen larp a Conensys dělá psyops. pic.twitter.com/EjMINrJjwf
— ❀ 𝖑𝖎𝖑𝖑𝖎 ❀ (@lillipose) 23. prosince 2024
Je pozoruhodné, že zakladatelé Hyperliquid dosud nereagovali na nabídku Monahana, prominentního bezpečnostního experta, aby zdarma přezkoumal bezpečnostní standardy platformy.
Teď to vypínám.
Držitelé HL mě přesvědčili, že je to v pořádku, protože Arbitrum se vrátí zpět, pokud bude HL hacknuto. 🫠
Opravdu, tohle není něco, o čem by se dalo debatovat lol. Jsme daleko za tím zatraceným bodem.
HL buď podnikne kroky k zpevnění jejich systému. Nebo ne.
(Prosím, udělejte to 🙏)
— Tay 💖 (@tayvano_) 23. prosince 2024
Volatilita tokenu HYPE se stabilizuje po krátkém poklesu
Obvinění obklopující Hyperliquid a následné tržní obavy vyvolaly prudký pokles jejího nativního tokenu HYPE, který klesl o více než 25 % z $34 v neděli na $25 do pondělí.
Nicméně ujištění od Hyperliquid Labs ohledně bezpečnosti uživatelských prostředků pomohla stabilizovat token.
V době psaní se HYPE mírně zvýšil na $25.80, což představuje 1.40% zotavení za posledních 24 hodin, podle CoinMarketCap.
Navzdory volatilitě Hyperliquid si udržuje své postavení jako přední poskytovatel obchodování s on-chain perpetuálními futures, ovládající více než 55 % trhu.
Zatímco nedávné události otestovaly důvěru investorů, dominantní tržní postavení platformy se zdá, že obnovuje důvěru mezi zúčastněnými stranami.
Rizika bezpečnosti infrastruktury validátorů
Odborníci na blockchain varují, že Hyperliquid, rychle se rozvíjející platforma DeFi, skrývá významné bezpečnostní zranitelnosti, které by ji mohly učinit primárním cílem pro sofistikované hackerské operace Severní Koreje.
Postaveno s důrazem na rychlost transakcí, Hyperliquid spoléhá pouze na čtyři validátory, což je struktura, která vyvolává červené vlajky.
Monahan navrhl, že tito validátoři by mohli být dokonce provozováni na zařízeních, které zakladatelé platformy používají pro osobní aktivity, jako jsou sociální média a videohovory.
Tento překryv zvyšuje riziko phishingových útoků, které by mohly předat kontrolu nad sítí - a jejími miliardami aktiv - hackerům.
lol @ všichni vy retardovaní, kteří si myslíte, že riziko je USG, které nutí Hyperliquid zmrazit AAAAAAAAAAHHAHAHHHAHAHAHAHAHAHHAHHAHAHHAHAHHAHAHAHAHHAHAHHAHAHHAHAHAHHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHHAHAHAHAHHAHAHAHAHAHAAHAHHAHAHAHHAHAHAHHAHAHAHA
Vy, DPRK neobchoduje. DPRK testuje.🤦♀️
— Tay 💖 (@tayvano_) 22. prosince 2024
Kryptový vývojář Cygaar zdůraznil zvlášť znepokojivou zranitelnost: Hyperliquidův most na Arbitrum One momentálně zajišťuje $2.3 miliardy v USDC.
S požadavkem na dvoutřetinovou kvórum platformy by kompromitace tří validátorů umožnila zlým aktérům přístup k celé částce.
Majitelé Hyperliquid by měli být rádi, že @tayvano_ včera upozornila na své obavy.
DPRK se na HL stejně podívalo bez ohledu na to, co kdokoliv na této aplikaci říká.
Pokud by tým HL již nepracoval na zajištění bezpečnosti mostu a validátora, včerejší tweet téměř jistě způsobil… pic.twitter.com/MXNATXYHqm
— cygaar (@0xCygaar) 23. prosince 2024
Odborníci navrhli potenciální ochranná opatření, jako je blacklistování peněženek spojených s hackery ze strany Circle, emitenta USDC, aby znefunkčnili ukradené prostředky.
Alternativně by bezpečnostní rada Arbitrum s více podpisy mohla zvrátit zlé transakce, i když tento přístup čelí kritice za podkopávání decentralizace.
Sázky jsou vysoké a tato rizika zdůrazňují naléhavou potřebu zvýšených bezpečnostních opatření.