Original | Odaily星球日报(@OdailyChina)
Auteur|Azuma(@azuma_eth)
Le projet très en vue Hyperliquid (HYPE) a subi aujourd'hui le plus grand recul depuis son lancement.
Les données de Bitget montrent qu'à 14h00, heure de Pékin, HYPE se négocie actuellement à 26,21 USDT, avec une baisse de 20,5 % au cours de la journée.
Les hackers nord-coréens ciblent-ils Hyperliquid ?
En regardant les nouvelles du marché, l'événement qui suscite le plus de discussions dans la communauté Hyperliquid aujourd'hui est l'avertissement d'un célèbre chercheur en sécurité, Tay(@tayvano_) - plusieurs adresses de hackers nord-coréens déjà marquées ont récemment effectué des transactions sur Hyperliquid, avec une perte totale dépassant 700 000 dollars.
Bien qu'à la date de publication, Hyperliquid n'ait montré aucun signe d'attaque, comme l'a dit Tay, « Si j'étais l'un des 4 validateurs gérant Hyperliquid, je serais probablement déjà en train de paniquer »... Les signes d'activité des hackers les plus puissants du monde de la cryptomonnaie pourraient signifier que les hackers nord-coréens ont identifié Hyperliquid comme une cible potentielle et testent la stabilité du système en effectuant des transactions.
Après la publication du post de Tay, cela a immédiatement suscité un vif débat au sein de la communauté, en particulier la question des « 4 validateurs » mentionnée par Tay a provoqué des discussions intenses, certains membres de la communauté la considérant comme le maillon le plus faible de la sécurité actuelle du système Hyperliquid.
Menace potentielle : 2,3 milliards de dollars dépendent uniquement d'une multi-signature 3/4.
Le développeur d'Abstract cygaar a expliqué que le contrat de pont Hyperliquid déployé sur Arbitrum contient actuellement 2,3 milliards de dollars de USDC, et que la plupart des fonctions de ce contrat de pont nécessitent la signature de 2/3 des validateurs pour être exécutées (puisqu'il n'y a que 4 validateurs, il en faut donc en réalité 3).
Si la majorité (3/4) des validateurs est compromise, le validateur compromis peut soumettre une demande de retrait de tous les USDC de ce contrat de pont et les envoyer à une adresse malveillante. Puisque l'attaquant a contrôlé la grande majorité des validateurs, il pourra passer la demande et finalement valider cette demande de retrait, ce qui signifie que les 2,3 milliards de dollars de USDC seront transférés à l'attaquant.
Il existe actuellement deux lignes de défense qui peuvent intervenir pour empêcher la perte définitive de ces USDC.
La première ligne de défense est mise en place au niveau du contrat USDC. Le mécanisme de liste noire de Circle peut complètement interdire à des adresses spécifiques de transférer des USDC ; s'ils agissent assez rapidement, ils peuvent empêcher l'attaquant de transférer les USDC volés, congelant ainsi effectivement les fonds et remboursant le contrat de pont Hyperliquid.
Pour cette ligne de défense, le grand expert en sécurité ZachXBT a commenté que Circle est très inefficace, ne vous attendez pas à ce qu'ils prennent des mesures correctives, mais ZachXBT a également précisé que ce commentaire ne concernait que Circle et n'impliquait pas d'avis sur Hyperliquid.
La deuxième ligne de défense est mise en place au niveau du réseau Arbitrum. Actuellement, le contrat de pont Arbitrum L1/L2 sur Ethereum est protégé par un contrat multi-signatures 9/12 (comité de sécurité). Supposons qu'un attaquant contrôle d'une manière ou d'une autre ces 2,3 milliards de USDC et les échange immédiatement contre d'autres tokens, contournant ainsi le mécanisme de liste noire de Circle. En théorie, le comité de sécurité d'Arbitrum peut également modifier l'état de la chaîne, revenir en arrière et empêcher la transaction d'attaque initiale de se produire. En cas d'« urgence », ce comité peut décider par vote s'il y a lieu d'intervenir.
Cygaar a ajouté que la dernière ligne de défense est évidemment très controversée et ne devrait être utilisée qu'en cas d'extrême urgence.
« FUD délibéré » ou « Avertissement de bonne foi » ? La réaction de la communauté est divisée.
En réponse au post d'avertissement de Tay, les réactions de la communauté ont été fortement polarisées.
D'une part, certains membres de la communauté estiment que l'avertissement de Tay est exagéré, surtout après la chute de HYPE, de nombreux utilisateurs de la communauté pensent que Tay ne fait que « FUD délibéré ».
Des membres de la communauté ont souligné que les hackers nord-coréens ciblent chaque protocole avec un TVL élevé, et ne s'attaquent pas seulement à Hyperliquid. Le simple fait de découvrir des traces d'utilisation par des hackers ne signifie pas que le protocole est menacé.
Certains membres de la communauté ont également noté que Tay travaille en fait pour Consensys, et que son soi-disant « avertissement » pourrait être motivé par des intérêts personnels, visant en réalité à permettre à Consensys de négocier la meilleure coopération possible avec l'équipe Hyperliquid.
D'autre part, certains personnalités connues ont choisi de soutenir le travail de sécurité de Tay.
Le célèbre hacker éthique samczsun a déclaré que, bien que Tay ait servi gratuitement l'industrie de la cryptomonnaie pendant plusieurs années, il a été sévèrement critiqué à cause de ce post, simplement parce que le prix de HYPE a chuté considérablement après l'émission de cet avertissement... C'est vraiment triste de voir de telles nouvelles.
Evgeny Gaevoy, fondateur et PDG de Wintermute, a également déclaré que le style de communication de Tay pouvait être un peu brusque (après que ce tweet ait été publié, Tay a eu des échanges vifs avec certains utilisateurs qui l'ont accusé), mais on ne peut pas ignorer des informations comme celle-ci.
En résumé, pour Hyperliquid, qui a été sur une lancée depuis son lancement, la discussion d'aujourd'hui peut être considérée comme un incident de taille modérée dans le processus de fonctionnement du projet. On peut dire que ce n'est pas un petit incident, car Hyperliquid n'a en fait pas souffert d'attaques ; mais ce n'est pas non plus un petit incident, car certaines faiblesses systémiques d'Hyperliquid ont été exposées, et un certain degré de division du consensus communautaire est apparu à la suite de cet événement... Cependant, en tant que leader aspirant à transformer les règles du secteur, cet incident pourrait être considéré comme un bon test, et il sera intéressant de voir comment Hyperliquid résoudra le problème de la multi-signature 3/4 et apaisera le UFD, ce qui sera également une excellente occasion pour le marché de réévaluer la qualité et l'efficacité du projet.
