Analisis teknis terhadap peristiwa hangat Hyperliquid dari sudut pandang keamanan blockchain
Alasan utama mengapa Hyperliquid saat ini banyak dibahas oleh komunitas adalah potensi risiko keamanan dalam kontrak jembatan mereka—aset USDC senilai 2,3 miliar USD bergantung pada mekanisme multisign 3/4 dari 4 validator, sementara beberapa alamat peretas Korea Utara yang diketahui baru-baru ini aktif dalam transaksi di platform mereka. Hal ini menyebabkan kepanikan sebagian komunitas dan penjualan panik, dengan penurunan harga tertinggi lebih dari 25% pada hari hype, nilai pasar menguap hingga lebih dari 7 miliar USD, dan lebih dari 150 juta USD dana ekosistem on-chain keluar.
Konflik di tingkat teknik dan ekologi ini sangat representatif dalam keamanan DeFi saat ini.
Selanjutnya, analisis mendalam akan dilakukan dari tiga aspek: risiko mekanisme validator, pola perilaku peretas Korea Utara, dan langkah-langkah mitigasi potensial.
I. Masalah inti mekanisme validator: Desain yang terlalu terpusat dan skenario serangan potensial
Saat ini, validator untuk kontrak jembatan Hyperliquid hanya ada 4, ini merupakan struktur multisign yang ekstrem dalam proyek DeFi. Aset USDC senilai 2,3 miliar USD bergantung pada aturan konsensus 3/4 validator, desain ini mengekspos dua risiko yang jelas:
(1) Validator diretas
Hasil serangan: Begitu peretas menguasai 3 validator, mereka dapat menandatangani transaksi berbahaya, mentransfer 2,3 miliar USD USDC ke alamat penyerang. Risiko ini sangat serius dan hampir tidak dapat dicegah dengan metode konvensional seperti firewall. Kecuali jika transaksi dari aset lintas chain Arbitrum dibatalkan, tetapi ini akan menghilangkan semua makna desentralisasi.
Jalur masuk teknologi: Tim peretas Korea Utara memiliki kemampuan serangan terbaik di industri kripto, dan jalur invasi klasik mereka termasuk:
Serangan rekayasa sosial: Mengirim email phishing berisi tautan berbahaya dengan menyamar sebagai mitra atau entitas yang dapat dipercaya, menanamkan RAT (Trojan Akses Jarak Jauh).
Serangan rantai pasokan: Jika perangkat validator bergantung pada file biner yang tidak ditandatangani atau komponen pihak ketiga, peretas dapat menguasai kontrol dengan menanamkan paket pembaruan berbahaya.
Serangan kerentanan nol hari: Memanfaatkan kerentanan nol hari di Chrome atau perangkat lunak umum lainnya untuk mengeksekusi kode berbahaya langsung di perangkat validator.
(2) Masalah kepercayaan dan distribusi validator
Saat ini arsitektur validator Hyperliquid tampaknya memiliki kelemahan berikut:
Apakah kode yang dijalankan oleh validator sepenuhnya konsisten? Apakah ada lingkungan pembangunan dan pengoperasian yang terdesentralisasi?
Apakah ada konsentrasi distribusi fisik di validator? Jika node validator di wilayah yang sama diserang secara fisik atau terputus dari jaringan, penyerang mungkin lebih mudah menyerang node yang tersisa.
Apakah keamanan perangkat pribadi validator telah melalui manajemen perusahaan yang terintegrasi? Jika validator menggunakan perangkat pribadi untuk mengakses sistem kunci dan tidak menerapkan EDR (Deteksi dan Respons Akhir), hal ini akan semakin memperbesar permukaan serangan.
II. Metode serangan peretas Korea Utara: dari jejak hingga potensi ancaman
Pola perilaku peretas yang diungkap oleh blogger terkenal luar negeri Tay patut diwaspadai, logika di baliknya mengisyaratkan strategi serangan yang sistematis:
(1) Mengapa peretas memilih Hyperliquid?
Target bernilai tinggi: 2,3 miliar USD USDC cukup untuk menarik tim peretas teratas, aset sebesar ini memiliki motivasi serangan yang cukup.
Mekanisme validator terlalu rapuh: Hanya perlu membobol 3 validator untuk menguasai semua aset, jalur serangan dengan ambang batas rendah ini sangat menarik.
Kegiatan transaksi sebagai alat uji: Peretas melakukan perdagangan untuk menguji stabilitas sistem, mungkin untuk mengumpulkan pola perilaku sistem Hyperliquid, seperti keterlambatan pemrosesan transaksi, mekanisme deteksi anomali, dll., untuk mendukung data serangan selanjutnya.
(2) Jalur yang diharapkan dalam serangan
Peretas kemungkinan akan mengambil langkah-langkah berikut:
Mengumpulkan informasi identitas dan aktivitas sosial validator, mengirim email phishing atau pesan yang ditargetkan.
Menanamkan RAT pada perangkat validator untuk mendapatkan kontrol perangkat melalui akses jarak jauh.
Menganalisis logika transaksi Hyperliquid, menyerahkan permohonan penarikan dana dengan tanda tangan transaksi palsu.
Akhirnya mengeksekusi transfer dana, mengirim USDC ke beberapa layanan pencampuran di berbagai blockchain untuk pencucian.
(3) Perluasan target serangan
Meskipun saat ini aset Hyperliquid belum dicuri, jejak transaksi aktif peretas menunjukkan bahwa mereka sedang melakukan 'pembekuan' atau 'serangan percobaan'. Komunitas tidak boleh mengabaikan peringatan ini, karena sering kali merupakan tahap persiapan penting sebelum tim peretas melaksanakan serangan.
III. Langkah mitigasi yang dapat dilakukan saat ini: Bagaimana mencegah serangan?
Untuk menangani risiko ini, Hyperliquid perlu segera menerapkan langkah-langkah perbaikan berikut:
(1) Desentralisasi arsitektur validator
Meningkatkan jumlah validator: Meningkatkan dari 4 validator saat ini menjadi 15-20, hal ini dapat secara signifikan meningkatkan kesulitan bagi peretas untuk membobol sebagian besar validator secara bersamaan.
Mengadopsi lingkungan operasi terdistribusi: Memastikan node validator tersebar di berbagai wilayah di seluruh dunia, serta lingkungan fisik dan jaringan yang saling terisolasi.
Memperkenalkan implementasi kode yang berbeda: Untuk menghindari titik kegagalan tunggal, kode operasi validator dapat menggunakan implementasi yang berbeda (misalnya versi ganda Rust dan Go).
(2) Meningkatkan keamanan perangkat validator
Manajemen perangkat khusus: Semua operasi kunci validator harus dilakukan di perangkat khusus yang dikelola oleh Hyperliquid, dan menerapkan sistem EDR lengkap untuk pemantauan.
Nonaktifkan file biner yang tidak ditandatangani: Semua file yang berjalan di perangkat validator harus melalui verifikasi tanda tangan yang terintegrasi oleh Hyperliquid untuk mencegah serangan rantai pasokan.
Pelatihan keamanan secara berkala: Memberikan pendidikan dan pelatihan kepada validator tentang serangan rekayasa sosial, meningkatkan kemampuan mereka untuk mengenali email phishing dan tautan berbahaya.
(3) Mekanisme perlindungan pada tingkat kontrak jembatan
Mekanisme penundaan transaksi: Mengatur mekanisme pelaksanaan tertunda untuk operasi penarikan dana besar (misalnya, di atas 10 juta USD), memberikan waktu respons kepada komunitas dan tim.
Ambang verifikasi dinamis: Menyesuaikan jumlah validator yang diperlukan berdasarkan jumlah penarikan, misalnya, ketika jumlah tertentu terlampaui, diperlukan 90% tanda tangan validator.
(4) Meningkatkan kemampuan deteksi dan respons terhadap serangan
Mekanisme daftar hitam: Bekerja sama dengan Circle untuk langsung menolak permintaan transaksi yang ditandai sebagai alamat berbahaya.
Pemantauan aktivitas on-chain: Memantau semua aktivitas abnormal di Hyperliquid secara real-time, seperti lonjakan frekuensi transaksi besar, perilaku tanda tangan validator yang tidak biasa, dll.
Kesimpulan
Masalah yang terungkap di Hyperliquid saat ini bukanlah kasus terisolasi, melainkan merupakan risiko sistemik yang umum dalam ekosistem DeFi saat ini: Tingkat perhatian terhadap mekanisme validator dan keamanan off-chain jauh lebih rendah dibandingkan dengan tingkat kontrak.
Saat ini belum terjadi serangan nyata, tetapi peristiwa ini merupakan peringatan yang kuat. Hyperliquid tidak hanya perlu segera memperkuat desentralisasi dan keamanan validator di tingkat teknis, tetapi juga perlu mendorong diskusi dan perbaikan menyeluruh dari komunitas mengenai risiko kontrak jembatan. Jika tidak, potensi risiko ini dapat dimanfaatkan di masa depan, mengakibatkan kerugian yang tidak dapat diperbaiki.
