Analisi tecnica degli eventi di punta di Hyperliquid dal punto di vista della sicurezza blockchain
Il motivo principale per cui Hyperliquid è ampiamente discusso oggi dalla comunità è il potenziale rischio di sicurezza nei suoi contratti di bridging: i beni USDC di 2,3 miliardi di dollari dipendono dal meccanismo di firma multi-firma di 3/4 tra 4 validatori, mentre sono stati registrati più indirizzi noti di hacker nordcoreani attivi nelle transazioni sulla sua piattaforma di recente. Questo ha causato alcune vendite panicose nella comunità, con un calo massimo di oltre il 25% nel giorno dell'hype, una capitalizzazione di mercato evaporata di oltre 7 miliardi di dollari e oltre 150 milioni di dollari di fondi in uscita dall'ecosistema on-chain.
Questo conflitto a livello tecnico ed ecologico è rappresentativo della sicurezza DeFi attuale.
Di seguito, verrà effettuata un'analisi approfondita dai tre aspetti: rischi del meccanismo di validazione, modelli di comportamento degli hacker nordcoreani e potenziali misure di mitigazione.
1. Problema centrale del meccanismo di validazione: progettazione eccessivamente centralizzata e scenari di attacco potenziali
Attualmente, ci sono solo 4 validatori nei contratti di bridging di Hyperliquid, il che rappresenta un'architettura multi-firma estremamente estrema nei progetti DeFi. I beni USDC di 2,3 miliardi di dollari dipendono dalle regole di consenso di 3/4 dei validatori, questo design espone due rischi evidenti:
(1) Validatore compromesso
Risultato dell'attacco Una volta che gli hacker controllano 3 validatori, possono firmare transazioni dannose e trasferire 2,3 miliardi di dollari di USDC all'indirizzo degli attaccanti. Questo rischio è estremamente grave e praticamente impossibile da intercettare con misure comuni come i firewall. A meno che le transazioni di beni trasferiti da Arbitrum vengano annullate, in tal caso si perderebbe completamente il significato di decentralizzazione.
Percorsi di intrusione tecnica Il team di hacker nordcoreano possiede la massima capacità di attacco nel settore della crittografia, i suoi percorsi di intrusione classici includono:
Attacco di ingegneria sociale: inviare email di phishing con collegamenti dannosi mascherandosi da partner o entità affidabili, impiantando un RAT (trojan di accesso remoto).
Attacco alla catena di fornitura: se il dispositivo del validatore si basa su file binari non firmati o componenti di terze parti, gli hacker possono ottenere il controllo inserendo pacchetti di aggiornamento dannosi.
Attacco a zero giorno: sfruttare le vulnerabilità a zero giorno di Chrome o di altri software comuni per eseguire codice dannoso direttamente sul dispositivo del validatore.
(2) Problemi di credibilità e distribuzione dei validatori
L'architettura dei validatori di Hyperliquid sembra attualmente presentare le seguenti debolezze:
Il codice eseguito dal validatore è completamente coerente? Esiste un ambiente di costruzione e esecuzione decentralizzato?
Esiste una concentrazione fisica dei validatori? Se i nodi validatori nella stessa area vengono attaccati fisicamente o disconnessi, gli attaccanti potrebbero trovare più facile attaccare i nodi rimanenti.
La sicurezza dei dispositivi personali del validatore è sottoposta a gestione aziendale unificata? Se il validatore utilizza dispositivi personali per accedere a sistemi critici e non ha implementato misure di monitoraggio della sicurezza come EDR (rilevamento e risposta degli endpoint), ciò amplificherà ulteriormente la superficie di attacco.
2. Tecniche di attacco degli hacker nordcoreani: dalle tracce alle minacce potenziali
I modelli di comportamento degli hacker rivelati dal famoso blogger Tay all'estero richiedono una grande attenzione, poiché la logica sottostante implica una strategia di attacco sistematica:
(1) Perché gli hacker scelgono Hyperliquid?
Obiettivo di alto valore: 2,3 miliardi di dollari di USDC sono sufficienti per attrarre qualsiasi team di hacker di alto livello, un patrimonio di tale scala ha già una motivazione di attacco sufficiente.
Meccanismo di validazione troppo debole: è sufficiente compromettere 3 validatori per controllare tutti i beni, questo percorso di attacco con una soglia bassa è estremamente attraente.
Attività di transazione come mezzo di test: gli hacker eseguono transazioni per testare la stabilità del sistema, probabilmente per raccogliere modelli comportamentali del sistema Hyperliquid, come ritardi nel trattamento delle transazioni, meccanismi di rilevamento delle anomalie, ecc., per fornire supporto dati per il prossimo attacco.
(2) Il percorso previsto dell'attacco
Gli hacker potrebbero seguire i seguenti passaggi:
Raccogliere informazioni di identificazione e attività sociali dei validatori, inviando email o messaggi di phishing mirati.
Impiantare un RAT sui dispositivi dei validatori, ottenendo il controllo del dispositivo attraverso l'accesso remoto.
Analizzare la logica di transazione di Hyperliquid, inviando richieste di prelievo di fondi tramite firme di transazione falsificate.
Eseguire infine il trasferimento di fondi, inviando USDC a vari servizi di miscelazione su diverse catene per il riciclaggio.
(3) Espansione degli obiettivi di attacco
Sebbene attualmente i beni di Hyperliquid non siano stati rubati, le tracce di transazioni attive degli hacker indicano che stanno conducendo attacchi "sottostanti" o "di prova". La comunità non dovrebbe ignorare questi avvertimenti, poiché spesso rappresentano una fase di preparazione importante prima che i team di hacker eseguano un attacco.
3. Misure di mitigazione attualmente praticabili: come prevenire l'attacco?
Per affrontare questo rischio, Hyperliquid deve implementare al più presto le seguenti misure di miglioramento:
(1) Decentralizzazione dell'architettura del validatore
Aumentare il numero di validatori: passare dagli attuali 4 validatori a 15-20, questo può aumentare significativamente la difficoltà per gli hacker di compromettere la maggior parte dei validatori contemporaneamente.
Adottare un ambiente di esecuzione distribuito: garantire che i nodi validatori siano distribuiti in diverse aree del mondo e che gli ambienti fisici e di rete siano isolati tra loro.
Introdurre diverse implementazioni di codice: per evitare un punto di guasto unico, il codice di esecuzione dei validatori può utilizzare implementazioni diverse (ad esempio, versioni duali di Rust e Go).
(2) Migliorare la sicurezza dei dispositivi del validatore
Gestione dei dispositivi dedicati: tutte le operazioni chiave del validatore devono essere eseguite su dispositivi dedicati gestiti da Hyperliquid e deve essere implementato un sistema EDR completo per il monitoraggio.
Disabilitare i file binari non firmati: tutti i file eseguiti sui dispositivi dei validatori devono passare attraverso la verifica della firma unificata di Hyperliquid per prevenire attacchi alla catena di fornitura.
Formazione sulla sicurezza regolare: educare e formare i validatori sugli attacchi di ingegneria sociale, migliorando la loro capacità di identificare email di phishing e collegamenti dannosi.
(3) Meccanismi di protezione a livello di contratto di bridging
Meccanismo di ritardo nelle transazioni: impostare un meccanismo di esecuzione ritardata per operazioni di prelievo di importi elevati (ad esempio, superiori a 10 milioni di dollari) per fornire tempo di risposta alla comunità e al team.
Soglia di validazione dinamica: regolare il numero di validatori richiesti in base all'importo prelevato, ad esempio, quando supera un certo importo, è necessaria la firma del 90% dei validatori.
(4) Migliorare la capacità di rilevamento e risposta agli attacchi
Meccanismo di blacklist: collaborare con Circle per rifiutare direttamente le richieste di transazione contrassegnate come indirizzi dannosi.
Monitoraggio delle attività on-chain: monitorare in tempo reale tutte le attività anomale su Hyperliquid, come picchi nel volume delle transazioni, comportamenti anomali nelle firme dei validatori, ecc.
Riepilogo
I problemi esposti da Hyperliquid oggi non sono casi isolati, ma rappresentano un rischio sistemico comune nell'ecosistema DeFi attuale: il livello di attenzione riservato ai meccanismi di validazione e alla sicurezza off-chain è molto inferiore rispetto al livello contrattuale.
Attualmente non si sono verificati attacchi reali, ma questo evento è un forte avvertimento. Hyperliquid deve rapidamente rafforzare la decentralizzazione e la sicurezza dei validatori a livello tecnico e promuovere una discussione e un miglioramento completi dei rischi associati ai contratti di bridging nella comunità. Altrimenti, questi potenziali rischi potrebbero essere realmente sfruttati in futuro, portando a perdite irreversibili.
