全鏈永續合約平台Hyperliquid遭受第四次重大攻擊

3月26日，永續合約平台Hyperliquid再次遭受攻擊，這是該項目自去年11月以來的第四起重大安全事件，也是其成立以來面臨的最嚴重危機。此次攻擊手法與之前的ETH巨鯨攻擊類似，但更加精準和猛烈。

攻擊者利用低流動性的Solana代幣JELLY作爲"炸藥"。當晚9點，攻擊者向平台存入350萬USDC保證金，開出價值408萬美元的JELLY空單，槓杆率達到平台上限。同時，一個持有大量JELLY的地址在現貨市場配合拋售，導致代幣價格暴跌，使空單浮盈。

隨後，攻擊者迅速撤走276萬USDC保證金，導致剩餘空單保證金不足，觸發Hyperliquid的自動清算機制。平台保險金庫HLP被迫接管這筆空頭倉位。攻擊者隨即反向操作，在1小時內大舉買入JELLY，導致其價格暴漲數倍至0.034美元，HLP浮虧超1050萬美元。

在Hyperliquid陷入困境時，某些中心化交易所迅速介入。兩家平台在攻擊事件發生後的一小時內發布了JELLY的永續合約上線公告，可能進一步推高代幣價格，放大HLP的虧損。

面對危機，Hyperliquid驗證者委員會通過了下架JELLY永續合約的投票，最終平倉價格爲攻擊者的開倉價格，HLP反而獲利70萬美元。這一決定引發了對平台去中心化程度的質疑。

作爲鏈上永續合約領域的頭部協議，Hyperliquid的交易量佔某知名中心化交易所全球合約交易量的9%，在去中心化交易所中遙遙領先。然而，該項目自成立以來頻繁遭受攻擊，安全性問題備受關注。

除本次事件外，Hyperliquid此前還經歷了三次重大安全事件：

1. 2024年12月：潛在的黑客威脅（未遂攻擊）
2. 2025年1月：ETH巨鯨高槓杆攻擊，HLP損失約400萬美元
3. 2025年3月12日：ETH巨鯨二次攻擊

這些事件暴露出Hyperliquid在保證金機制、HLP機制、驗證者數量有限等方面存在的問題。

從架構上看，Hyperliquid是一個自帶Layer1的去中心化交易所，採用EVM+撮合引擎的設計。其核心組件HyperCore相當於中心化交易所的撮合引擎，與HyperEVM共享同一共識層。這種設計雖然創新，但也帶來了潛在風險，如交易狀態不一致、同步延遲等問題。

HLP金庫是Hyperliquid生態的核心，其設計邏輯類似於聚合社區用戶資產構建去中心化做市商資金池。然而，這種固定邏輯的設計在面對攻擊時顯得較爲脆弱。

盡管Hyperliquid在鏈上永續合約領域取得了顯著成就，但其面臨的挑戰仍然巨大。如何在保持高效率的同時增強安全性和去中心化程度，將是該項目未來發展的關鍵。同時，這一事件也引發了業界對永續合約去中心化交易所發展方向的深入思考。