全链永续合约平台Hyperliquid遭受第四次重大攻击

3月26日，永续合约平台Hyperliquid再次遭受攻击，这是该项目自去年11月以来的第四起重大安全事件，也是其成立以来面临的最严重危机。此次攻击手法与之前的ETH巨鲸攻击类似，但更加精准和猛烈。

攻击者利用低流动性的Solana代币JELLY作为"炸药"。当晚9点，攻击者向平台存入350万USDC保证金，开出价值408万美元的JELLY空单，杠杆率达到平台上限。同时，一个持有大量JELLY的地址在现货市场配合抛售，导致代币价格暴跌，使空单浮盈。

随后，攻击者迅速撤走276万USDC保证金，导致剩余空单保证金不足，触发Hyperliquid的自动清算机制。平台保险金库HLP被迫接管这笔空头仓位。攻击者随即反向操作，在1小时内大举买入JELLY，导致其价格暴涨数倍至0.034美元，HLP浮亏超1050万美元。

在Hyperliquid陷入困境时，某些中心化交易所迅速介入。两家平台在攻击事件发生后的一小时内发布了JELLY的永续合约上线公告，可能进一步推高代币价格，放大HLP的亏损。

面对危机，Hyperliquid验证者委员会通过了下架JELLY永续合约的投票，最终平仓价格为攻击者的开仓价格，HLP反而获利70万美元。这一决定引发了对平台去中心化程度的质疑。

作为链上永续合约领域的头部协议，Hyperliquid的交易量占某知名中心化交易所全球合约交易量的9%，在去中心化交易所中遥遥领先。然而，该项目自成立以来频繁遭受攻击，安全性问题备受关注。

除本次事件外，Hyperliquid此前还经历了三次重大安全事件：

1. 2024年12月：潜在的黑客威胁（未遂攻击）
2. 2025年1月：ETH巨鲸高杠杆攻击，HLP损失约400万美元
3. 2025年3月12日：ETH巨鲸二次攻击

这些事件暴露出Hyperliquid在保证金机制、HLP机制、验证者数量有限等方面存在的问题。

从架构上看，Hyperliquid是一个自带Layer1的去中心化交易所，采用EVM+撮合引擎的设计。其核心组件HyperCore相当于中心化交易所的撮合引擎，与HyperEVM共享同一共识层。这种设计虽然创新，但也带来了潜在风险，如交易状态不一致、同步延迟等问题。

HLP金库是Hyperliquid生态的核心，其设计逻辑类似于聚合社区用户资产构建去中心化做市商资金池。然而，这种固定逻辑的设计在面对攻击时显得较为脆弱。

尽管Hyperliquid在链上永续合约领域取得了显著成就，但其面临的挑战仍然巨大。如何在保持高效率的同时增强安全性和去中心化程度，将是该项目未来发展的关键。同时，这一事件也引发了业界对永续合约去中心化交易所发展方向的深入思考。