去中心化永续合约交易所 Hyperliquid 周三遭到攻击,导致平台的 HLP(Hyperliquidity Provider)金库损失约 490 万美元。此次攻击也让 Hyperliquid 与 Arbitrum 之间的跨链桥一度停摆。
Hyperliquidity Provider 是 Hyperliquid 协议的核心组成部分,该金库由社群拥有,负责运行造市和清算策略,允许用户存入 USDC 稳定币并根据持仓比例共享利润或承担损失。
根据链上分析平台 Lookonchain 的说法,攻击者刻意操纵迷因币 POPCAT 来攻击 Hyperliquid,其先从 OKX 交易所提领 300 万颗 USDC,分散到 19 个钱包,然后全部存入 Hyperliquid,并建立约 2628 万美元的 POPCAT 多头仓位。接著,攻击者在 0.21 美元附近挂出约 2000 万美元的买单墙,营造出强劲买盘的假象,随后把这些挂单全部撤掉,导致流动性瞬间崩塌,引发一连串强制清算,包括攻击者自己的 300 万美元抵押品。
HLP 接管了这些仓位,蒙受约 490 万美元损失。这次攻击手法与今年三月发生的 JELLYJELLY 漏洞利用事件类似。
作为因应,Hyperliquid 暂停了 HLP 的存款与提领,以便手动平掉相关仓位。不久之后,Arbitrum 跨链桥的自动锁定机制也被触发,进一步关闭了转向 Hyperliquid 的存款与提领功能。
Hyperliquid 开发者 Iliensinc 随后在 Hyperliquid 的 Discord 中对此事作出回应,他表示:「Arbitrum 跨链桥的自动锁定是由一组相对保守的判断条件所触发,而在约 25 分钟内彻底调查完情况后,跨链桥便已解锁。资金是安全的,Hyperliquid 区块链本身未受到影响,也没有发生任何停机。」