Джерело статті: Chain Source Technology PandaLY.
Технічний аналіз гарячих подій Hyperliquid з точки зору безпеки блокчейну.
Основна причина, чому Hyperliquid сьогодні активно обговорюється в спільноті, полягає в потенційних загрозах безпеці в його контракті мосту — активи на 2,3 мільярда доларів США залежать від механізму мультипідпису 3/4 з 4 валідаторів, і в той же час активні торгові записи з кількома відомими адресами північнокорейських хакерів. Це призвело до часткових панічних продажів у спільноті, гіперзростання на день досягло більше 25%, ринкова капіталізація зменшилася на понад 7 мільярдів доларів США, а в екосистемі блокчейну сталося виведення коштів у розмірі понад 150 мільйонів доларів США.
Цей конфлікт на технологічному та екологічному рівнях є дуже типовим у сучасній безпеці DeFi.
Далі буде проведений глибокий аналіз ризиків механізму валідаторів, моделей поведінки північнокорейських хакерів та потенційних заходів пом'якшення.
Перше. Основна проблема механізму валідаторів: надмірно централізований дизайн та потенційні сценарії атак.
На даний момент у Hyperliquid є лише 4 валідатори для контракту мосту, що є крайнім мультипідписним механізмом у DeFi проектах. 2,3 мільярда доларів США активів залежать від правила згоди 3/4 валідаторів, ця конструкція виявляє два очевидних ризики:
(1) Валідатори були зламані.
Результати атаки: як тільки хакер контролює 3 валідаторів, він може підписати шкідливі угоди та перевести 2,3 мільярда доларів США на адресу нападника. Цей ризик є надзвичайно серйозним і майже неможливо перехопити за допомогою звичайних засобів, таких як брандмауери. Хіба що активи, що переходять з Arbitrum, будуть повернуті назад, але це позбавить сенсу децентралізації.
Технічні шляхи вторгнення: Північнокорейська хакерська команда має один з найвищих рівнів атак у криптоіндустрії, їх класичні шляхи вторгнення включають:
Атаки соціальної інженерії: надсилати фішингові електронні листи з шкідливими посиланнями, маскуючись під партнера або надійну особу, впроваджуючи RAT (віддалений доступ до тройяну).
Атаки на ланцюг постачання: якщо пристрої валідаторів залежать від несигнованих двійкових файлів або сторонніх компонентів, хакер може отримати контроль, впровадивши шкідливий пакет оновлення.
Атаки з використанням нульових вразливостей: використовуючи нульові вразливості в Chrome або інших звичних програмах для безпосереднього виконання шкідливого коду на пристрої валідатора.
(2) Проблеми з довірою та розподілом валідаторів.
На даний момент архітектура валідаторів Hyperliquid, здається, має наступні слабкі місця:
Чи є код, що виконується валідаторами, абсолютно однаковим? Чи існує децентралізоване середовище для побудови та виконання?
Чи існує фізична концентрація валідаторів? Якщо вузли валідаторів в одному регіоні піддаються фізичній атаці або втраті зв'язку, зловмисники можуть легше націлити залишилися вузли.
Чи було безпека особистих пристроїв валідаторів централізовано керована підприємством? Якщо валідатори використовують особисті пристрої для доступу до критичних систем і не впроваджують засоби безпечного моніторингу, такі як EDR (моніторинг та реагування на термінали), це ще більше розширює поверхню атаки.
Друге. Методи атаки північнокорейських хакерів: від слідів до потенційних загроз.
Моделі поведінки хакерів, викриті відомим блогером з-за кордону Тей, викликають серйозне занепокоєння, адже їх логіка натякає на систематичну стратегію атаки:
(1) Чому хакери обирають Hyperliquid?
Високоякісна мета: 2,3 мільярда доларів США достатньо, щоб залучити будь-яку топову хакерську команду, активи такого масштабу мають достатній мотиваційний фактор для атак.
Механізм валідаторів надто слабкий: достатньо зламати 3 валідаторів, щоб контролювати всі активи, цей низький поріг атаки створює велику привабливість.
Торгові активності як засіб тестування: хакери виконують угоди, щоб протестувати стабільність системи, можливо, щоб зібрати дані про поведінку системи Hyperliquid, наприклад, затримки обробки угод, механізми аномального виявлення тощо, для підтримки даних для наступних атак.
(2) Очікуваний шлях атаки.
Хакери, ймовірно, вживають наступні кроки:
Збирати інформацію про особу та соціальну активність валідаторів, надсилати цілеспрямовані фішингові електронні листи або повідомлення.
Впровадити RAT на пристрої валідатора, отримати контроль над пристроєм через віддалений доступ.
Аналізувати торгову логіку Hyperliquid, подавати запити на виведення коштів за допомогою підроблених підписів угод.
Врешті-решт виконати переказ коштів, надіславши USDC до кількох змішувальних сервісів на різних ланцюгах для відмивання.
(3) Розширення цілей атаки.
Хоча наразі активи Hyperliquid не були вкрадені, активна торгова діяльність хакерів вказує на те, що вони ведуть «підготовку» або «пробні атаки». Спільнота не повинна ігнорувати ці попередження, оскільки вони часто є важливим етапом підготовки до атак команди хакерів.
Третє. Поточні заходи пом'якшення: як запобігти реалізації атак?
Щоб впоратися з цим ризиком, Hyperliquid потрібно якомога швидше реалізувати наступні заходи покращення:
(1) Децентралізація архітектури валідаторів.
Збільшити кількість валідаторів: з нинішніх 4 валідаторів до 15-20, це може значно підвищити складність для хакерів одночасно зламати більшість валідаторів.
Впровадити розподілене середовище виконання: забезпечити розподіл вузлів валідаторів по багатьом регіонам світу, при цьому фізичне та мережеве середовище повинні бути ізольованими одне від одного.
Впровадити різні реалізації коду: щоб уникнути одноточкових збоїв, код виконання валідаторів може використовувати різні реалізації (наприклад, подвійні версії Rust і Go).
(2) Підвищити безпеку пристроїв валідаторів.
Управління спеціалізованими пристроями: всі ключові операції валідаторів повинні виконуватися на спеціалізованих пристроях, що управляються Hyperliquid, і впроваджена повна система EDR для моніторингу.
Вимкнути несигновані двійкові файли: всі файли, що працюють на пристроях валідаторів, повинні пройти єдину перевірку підпису Hyperliquid, щоб запобігти атакам на ланцюг постачання.
Регулярне навчання з безпеки: навчати валідаторів про атаки соціальної інженерії, підвищуючи їх здатність розпізнавати фішингові електронні листи та шкідливі посилання.
(3) Механізми захисту на рівні контрактів мосту.
Механізм затримки угод: встановити механізм затримки виконання для великих операцій з виведення коштів (наприклад, понад 10 мільйонів доларів), щоб надати спільноті та команді час для реагування.
Динамічний поріг перевірки: коригувати вимоги до кількості валідаторів відповідно до суми виведення, наприклад, при перевищенні певної суми потрібно 90% підписів валідаторів.
(4) Підвищити можливості виявлення атак та реагування.
Механізм чорного списку: співпрацювати з Circle, щоб відмовляти у запитах на угоди, позначених як шкідливі адреси.
Моніторинг активності на ланцюгу: реальний моніторинг всіх аномальних активностей на Hyperliquid, таких як різке збільшення частоти великих угод, аномальні підписні дії валідаторів тощо.
Висновок.
Проблеми, які сьогодні виявляє Hyperliquid, не є ізольованим випадком, а є системним ризиком, який широко поширений у сучасній екосистемі DeFi: рівень уваги до механізму валідаторів та безпеки за межами ланцюга значно нижчий, ніж на рівні контрактів.
Наразі фактична атака не сталася, але цей інцидент є сильним попередженням. Hyperliquid потребує не лише швидкого зміцнення децентралізації та безпеки валідаторів на технічному рівні, а також потребує спонукати спільноту до всебічного обговорення та покращення ризиків контрактів мосту. Інакше ці потенційні загрози можуть бути реалізовані в майбутньому, завдаючи незворотних збитків.
