Автор: Azuma, Odaily 星球日报
Популярний проект Hyperliquid (HYPE) сьогодні зазнав найбільшого коригування з моменту запуску.
На біржі Bitget станом на 14:00 за пекинським часом HYPE був на рівні 26.21 USDT, за добу знизившись на 20.5%.
Північнокорейські хакери націлилися на Hyperliquid?
Оглядаючи ринкові новини, сьогодні найбільша дискусія в спільноті Hyperliquid стосується попередження від відомого дослідника з безпеки Тея (@tayvano_) — кілька відмічених адрес північнокорейських хакерів нещодавно проводили交易 на Hyperliquid, наразі загальні втрати перевищують 700 тисяч доларів.
Хоча на момент публікації жодних ознак атаки на Hyperliquid не було зафіксовано, як зазначив Тей, «якщо б я був одним із 4-х валідаторів, що керують Hyperliquid, я б, напевно, вже налякався»... ознаки активності з боку найсильніших хакерів криптовалютного світу, або ж це означає, що північнокорейські хакери обрали Hyperliquid як потенційну ціль і тестують стабільність системи, виконуючи交易.
Після публікації допису Тея в спільноті розгорілася жвава дискусія, особливо питання, пов'язані з «4-ма валідаторами», викликали запеклі обговорення, частина користувачів навіть вважає це найслабшою ланкою системної безпеки Hyperliquid.
Потенційна загроза: 2.3 мільярда доларів лише покладаються на 3/4 мультимісцевість
Розробник Abstract cygaar пояснив, що в мостовому контракті Hyperliquid, розгорнутому на Arbitrum, наразі міститься 2.3 мільярда доларів USDC, а більшість функцій цього мостового контракту потребують підписів 2/3 валідаторів для виконання (оскільки всього 4 валідатори, фактично потрібно 3 підписи).
Припустимо, що більшість (3/4) валідаторів були зламані, зламані валідатори можуть подати запит на виведення всіх USDC з цього мостового контракту і надіслати їх на зловмисну адресу. Оскільки зловмисник контролює більшість валідаторів, він зможе успішно пройти та нарешті підтвердити цей запит на виведення, що означає, що 2.3 мільярда доларів USDC буде переведено до рук зловмисника.
Зараз є дві лінії оборони, які можуть втрутитися, щоб запобігти вічній втраті цих USDC.
Перша лінія оборони — це захист на рівні контракту USDC. Механізм чорного списку Circle може повністю заборонити певним адресам переводити USDC, якщо вони діють достатньо швидко, вони можуть запобігти переведенню вкрадених USDC зловмисником, ефективно заморожуючи кошти та повертаючи їх на мостовий контракт Hyperliquid.
Щодо цієї лінії оборони, експерт з безпеки ZachXBT прокоментував, що ефективність Circle дуже низька, не варто очікувати від них якихось заходів, але ZachXBT також уточнив, що цей коментар стосується лише Circle і не стосується Hyperliquid.
Друга лінія оборони — це захист на рівні мережі Arbitrum. Наразі мостовий контракт на Arbitrum L1/L2 на Ethereum захищений мультимісцевим контрактом з 9/12 підписами (комітет безпеки). Якщо зловмисник будь-яким чином контролюватиме ці 2.3 мільярда USDC і миттєво обміняє їх на інші токени, уникнувши механізму чорного списку Circle. Теоретично, комітет безпеки Arbitrum також може змінити стан мережі, скасувати і запобігти початковій атакуючій交易. У «надзвичайних ситуаціях» цей комітет може голосуванням вирішити, чи проводити таке втручання.
cygaar додав, що остання лінія оборони явно є спірною і має використовуватися лише в найкритичніших ситуаціях.
「Навмисний FUD」або「Доброзичливе попередження」? Реакція спільноти різна
Щодо попередження Тея, реакція спільноти виявилася яскраво поляризованою.
З одного боку, частина членів спільноти вважає, що попередження Тея перебільшене, особливо після падіння HYPE, багато користувачів вважають, що Тей просто «навмисно поширює FUD».
· Декілька членів спільноти зазначили, що північнокорейські хакери націлюються на кожен протокол з високим TVL, а не лише на Hyperliquid, і виявлення слідів використання хакерів не означає, що протокол зазнав загрози;
· Декілька членів спільноти також зазначили, що сам Тей фактично працює в Consensys, і його так зване «попередження» має підозру в інтересах, насправді це лише для того, щоб Consensys змогла досягти найбільш вигідної угоди з командою Hyperliquid.
З іншого боку, деякі відомі особи висловили підтримку безпековій роботі Тея.
· Відомий білий хакер samczsun зазначив, що, хоча Тей безкоштовно служив криптовалютній індустрії вже кілька років, він зазнав жорсткої критики через цей допис лише тому, що після попередження ціна HYPE різко впала... Сумно бачити такі новини.
· Засновник і генеральний директор Wintermute Євгеній Гаєвой також зазначив, що стиль спілкування Тея може бути дещо грубим (після публікації цього твітту Тей і частина користувачів, що його звинувачують, вступили в жваву перепалку), але не можна ігнорувати такі повідомлення.
Отже, для Hyperliquid, який до цього часу йшов без перешкод, сьогоднішня дискусія може бути розглянута як невелика аварія в процесі роботи проекту. Сказати, що це не велика, — тому що Hyperliquid фактично не зазнав атаки; сказати, що це не маленька, — тому що частина вразливих ланок системи Hyperliquid була виявлена, і консенсус спільноти з цього питання зазнав певного розподілу... Але як лідер, що прагне змінити правила галузі, ця аварія, скоріше, є хорошим тестом для Hyperliquid, і те, як вони вирішать проблему 3/4 мультимісцевості та заспокоять UFD, також стане хорошою можливістю для ринку оцінити якість і ефективність цього проекту.
