Kekhawatiran Keamanan Muncul dari Laporan Dompet Terkait DPRK
Hyperliquid Labs, platform terdesentralisasi untuk perdagangan futures perpetual, dengan tegas membantah klaim telah dieksploitasi oleh dompet yang terkait dengan peretas Korea Utara.
Kekhawatiran muncul setelah ahli keamanan MetaMask Taylor Monahan melaporkan bahwa dompet yang ditandai terkait dengan Korea Utara telah melakukan perdagangan di Hyperliquid, menghasilkan likuidasi yang melebihi $700.000—jumlah yang tidak biasa kecil untuk peretas yang didukung negara.
Beberapa alamat peretas Korea Utara yang ditandai baru-baru ini telah diperdagangkan di Hyperliquid, dengan total kerugian lebih dari $700.000, menurut @tayvano_. Beberapa anggota komunitas khawatir bahwa aktivitas perdagangan ini mungkin berarti bahwa peretas Korea Utara telah mengidentifikasi…
— Wu Blockchain (@WuBlockchain) 23 Desember 2024
Kontroversi meningkat ketika Monahan menyarankan bahwa aktivitas tersebut kemungkinan merupakan upaya pengintaian, dengan peretas menguji pertahanan Hyperliquid sebagai persiapan untuk kemungkinan serangan.
Ketakutan ini memicu gelombang penarikan, dengan lebih dari $194 juta dalam USDC ditarik dari platform dalam satu hari, menurut dasbor Dune Analytics Hasheds.
Monahan juga menyoroti kerentanan platform ini karena set validator yang sangat terpusat, yang terdiri dari hanya empat validator.
Dalam pernyataan lanjutan, Monahan mendesak Hyperliquid untuk mengambil langkah segera untuk memperkuat pertahanannya, menekankan urgensi dalam menangani masalah keamanan ini.
Apakah Ada Peretasan Hyperliquid yang Mungkin?
Spekulasi tentang kemungkinan peretasan Hyperliquid tetap tidak terbukti, tetapi jika satu terjadi, berikut adalah bagaimana kemungkinan itu akan terjadi.
Serangan terhadap kontrak jembatan Hyperliquid akan memerlukan kompromi dari tiga dari empat validatornya, mencapai kuorum dua pertiga yang diperlukan.
Jika berhasil, para peretas dapat mencoba memindahkan USDC yang dicetak secara asli di Arbitrum.
Namun, Circle, penerbit USDC, secara teori dapat membekukan dana ini—selama mereka menerima dan bertindak atas perintah pengadilan dengan cukup cepat.
Proses hukum ini, yang sering lambat, mungkin memberikan kesempatan bagi peretas berpengalaman untuk mengubah aset yang dicuri menjadi token yang tidak dapat disensor seperti ETH.
Sebagai alternatif, mereka dapat menukar USDC yang dicuri dengan token USDC.e yang berbasis Ethereum dan mentransfernya ke mainnet Ethereum.
Semua orang ingin Hyperliquid menanggapi tuduhan peretasan yang akan datang, jadi inilah dia.
TDLR: tidak ada eksploitasi, semua dana aman. Jika kerentanan ditemukan, tim selalu bersedia mendengarkan karena mereka memiliki program hadiah bug. pic.twitter.com/VHYeUogvxs
— steven.hl (@stevenyuntcap) 23 Desember 2024
Matt Fiebach di Entropy Advisors menjelaskan:
"Satu-satunya jalur yang mungkin yang akan memungkinkan dewan keamanan Arbitrum sebagai garis pertahanan adalah jika para peretas mencoba menarik dana melalui jembatan kanonik, kemungkinan setelah menukar ke ETH."
Ia menambahkan:
"Dalam skenario ini, Dewan Keamanan Arbitrum yang terpilih perlu membuat keputusan apakah memblokir transfer ini secara efektif berada dalam lingkup mereka untuk 'menangani risiko kritis yang terkait dengan protokol dan ekosistem Arbitrum'.”
Batasan likuiditas juga akan menimbulkan hambatan signifikan.
Untuk membuang $2 miliar dalam dana yang dicuri, para peretas perlu menyebarkan transaksi di berbagai jembatan pihak ketiga, yang akan mengakibatkan selip yang substansial.
Prithvir Jhaveri, pendiri dan CEO Loch, sebuah platform analitik portofolio kripto, telah menguraikan risiko operasional dan regulasi yang dihadapi Hyperliquid.
Jhaveri menunjukkan kerentanan yang berasal dari ketergantungan platform pada hanya empat validator dan menyoroti pelanggaran regulasi potensial, termasuk pelanggaran sanksi OFAC AS dan regulasi SEC.
[Peringatan Pemicu]@HyperliquidX menghadapi beberapa risiko serius.
Saya telah mengorganisirnya dalam urutan menurun dengan logika mitigasi di mana berlaku.
1. OpSec
2. OFAC
3. SEC
4. Konsentrasi Vault Pembuat Pasar
5. Penurunan Kinerja
6. Rasio FDV ke Float
1. Risiko OpSec
Dompet… pic.twitter.com/pdU1zX5X5T
— Prithvir (@Prithvir12) 23 Desember 2024
Risiko ini diperburuk oleh interaksi Hyperliquid dengan entitas di daerah yang disanksi dan klasifikasi potensialnya sebagai broker yang tidak terdaftar.
Hyperliquid Membantah Klaim Eksploitasi Tetapi Tidak Semua Yakin
Hyperliquid Labs telah menanggapi tuduhan terbaru melalui saluran Discord-nya, dengan tegas membantah adanya peretasan atau eksploitasi yang terkait dengan alamat yang berafiliasi dengan DPRK.
Hyperliquid menekankan komitmennya terhadap keamanan operasional, mengutip program hadiah bug yang kuat dan kepatuhan terhadap standar industri dalam analisis blockchain.
Tim meyakinkan pengguna bahwa tidak ada kerentanan yang telah diungkapkan oleh peneliti keamanan atau pihak ketiga, dan semua dana tetap aman meskipun ada kekhawatiran terkait aktivitas perdagangan yang mencurigakan.
Hyperliquid Labs: Kami menyadari laporan yang beredar mengenai aktivitas yang diduga oleh alamat DPRK. Tidak ada eksploitasi DPRK - atau eksploitasi mana pun untuk masalah itu - dari Hyperliquid. Semua dana pengguna tercatat. Hyperliquid Labs menganggap opsec dengan serius. Tidak ada kerentanan yang telah… https://t.co/VI46V2O00g
— Wu Blockchain (@WuBlockchain) 23 Desember 2024
Namun, tidak semua orang yakin.
Nassim Eddequiouaq, seorang pengembang kripto dan mantan kepala keamanan informasi tim kripto Andreessen Horowitz, mengungkapkan kekhawatiran, menyarankan bahwa peretas Korea Utara mungkin sudah berada di infrastruktur Hyperliquid, merancang eksploitasi yang lebih efektif.
Saya bekerja langsung pada peretasan jembatan terbesar DPRK yang pernah ada (Ronin), membantu melacak peretas jembatan BSC di luar rantai, dan berada di Apple dalam tim keamanan pada saat spyware Pegasus, jadi saya menganggap diri saya agak ahli di sini.
Saya akan merekomendasikan tim @HyperliquidX untuk melakukan… https://t.co/y0aqUAqWJb
— Nass Eddequiouaq (@nassyweazy) 23 Desember 2024
Sementara beberapa di komunitas kripto menggema peringatan ini, yang lain menganggapnya sebagai 'psyop' yang bertujuan merusak reputasi Hyperliquid.
bro, ini tidak begitu serius. Tay hanyalah larp dan Conensys sedang melakukan psyops. pic.twitter.com/EjMINrJjwf
— ❀ 𝖑𝖎𝖑𝖑𝖎 ❀ (@lillipose) 23 Desember 2024
Perlu dicatat, pendiri Hyperliquid belum menanggapi tawaran Monahan, seorang ahli keamanan terkemuka, untuk meninjau standar keamanan platform tanpa biaya.
Menonaktifkan hal ini sekarang.
Pemegang HL meyakinkan saya bahwa tidak masalah karena Arbitrum akan mundur jika HL diretas. 🫠
Sungguh, ini bukan hal yang bisa diperdebatkan lol. Kita sudah melewati titik itu.
HL entah berusaha menguatkan sistem mereka. Atau tidak.
(Silakan lakukan 🙏)
— Tay 💖 (@tayvano_) 23 Desember 2024
Volatilitas Token HYPE Stabil Setelah Penurunan Singkat
Tuduhan seputar Hyperliquid dan kekhawatiran pasar yang menyusul memicu penurunan tajam pada token asli, HYPE, yang turun lebih dari 25% dari $34 pada hari Minggu menjadi $25 pada hari Senin.
Namun, jaminan dari Hyperliquid Labs tentang keamanan dana pengguna membantu menstabilkan token.
Pada saat penulisan, HYPE telah sedikit naik menjadi $25,80, menandai pemulihan 1,40% dalam 24 jam terakhir, menurut CoinMarketCap.
Meskipun volatilitas, Hyperliquid mempertahankan posisinya sebagai penyedia terkemuka perdagangan futures perpetuum on-chain, menguasai lebih dari 55% pasar.
Sementara peristiwa terbaru telah menguji kepercayaan investor, posisi pasar dominan platform tampaknya mulai mengembalikan kepercayaan di antara para pemangku kepentingan.
Risiko Keamanan Infrastruktur Validator
Para ahli blockchain memperingatkan bahwa Hyperliquid, sebuah platform DeFi yang berkembang pesat, menyimpan kerentanan keamanan signifikan yang dapat menjadikannya target utama untuk operasi peretasan canggih Korea Utara.
Dibangun dengan fokus pada kecepatan transaksi, Hyperliquid bergantung pada hanya empat validator, sebuah struktur yang menimbulkan tanda merah.
Monahan menyarankan bahwa validator ini mungkin bahkan dioperasikan di perangkat yang digunakan pendiri platform untuk kegiatan pribadi seperti media sosial dan panggilan video.
Overlapping ini meningkatkan risiko serangan phishing yang bisa menyerahkan kontrol jaringan—dan miliaran asetnya—kepada peretas.
lol @ semua kalian yang berpikir risikonya adalah USG memaksa Hyperliquid untuk membekukan AAAAAAAAAAHHAHAHHHAHAHAHAHAHAHHAHHAHAHHAHAHHAHAHAHAHHAHAHHAHAHHAHAHAHHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHHAHAHAHAHHAHAHAHAHAHAAHAHHAHAHAHHAHAHAHHAHAHAHA
Kalian, DPRK tidak berdagang. DPRK menguji.🤦♀️
— Tay 💖 (@tayvano_) 22 Desember 2024
Pengembang kripto Cygaar menyoroti kerentanan yang sangat mengkhawatirkan: jembatan Hyperliquid di Arbitrum One saat ini mengamankan $2,3 miliar dalam USDC.
Dengan persyaratan kuorum dua pertiga dari platform, mengompromikan tiga validator akan memberikan akses kepada aktor jahat ke seluruh jumlah.
Pemilik Hyperliquid seharusnya senang bahwa @tayvano_ mengungkapkan kekhawatirannya kemarin.
DPRK akan memeriksa HL tanpa memperhatikan apa pun yang dikatakan siapa pun di aplikasi ini.
Jika tim HL belum bekerja untuk memastikan keamanan jembatan dan validator, tweet kemarin hampir pasti telah membuat… pic.twitter.com/MXNATXYHqm
— cygaar (@0xCygaar) 23 Desember 2024
Para ahli telah mengusulkan langkah-langkah pencegahan potensial, seperti Circle, penerbit USDC, yang memblacklist dompet yang terkait dengan peretas untuk mengimobilisasi dana yang dicuri.
Sebagai alternatif, dewan keamanan multi-tanda tangan Arbitrum dapat membalikkan transaksi jahat, meskipun pendekatan ini menghadapi kritik karena mengurangi desentralisasi.
Taruhannya tinggi, dan risiko ini menyoroti kebutuhan mendesak akan langkah-langkah keamanan yang ditingkatkan.
