La guerre de l’ombre s’intensifie : Hyperliquid a subi une attaque « kamikaze », mais la véritable bataille ne fait peut-être que commencer

Un attaquant a perdu 3 millions de dollars dans une attaque « kamikaze », mais il est probable qu’il ait atteint l’équilibre grâce à une couverture externe, ce qui ressemble davantage à un « stress test » à faible coût des capacités défensives du protocole.

Auteur : The Smart Ape

Traduction : AididiaoJP, Foresight News

Dans l’industrie crypto, on entend souvent des slogans comme « le code fait loi », « faites confiance aux mathématiques, pas aux humains », « open source + décentralisation », etc…

Toutes ces affirmations sont justes, mais les dernières semaines ont une fois de plus montré à quel point notre modèle actuel reste fragile.

Même la plateforme de trading perpétuel décentralisée la plus avancée actuellement, @HyperliquidX, vient de subir une attaque majeure.

Un attaquant a liquidé ses propres fonds de 3 millions de dollars uniquement pour faire perdre 5 millions de dollars au coffre HLP du protocole, soit presque le double du montant de sa propre liquidation.

En surface, cela ressemble à une attaque « kamikaze » : pas de profit, seulement de la destruction.

Mais dans un monde où Hyperliquid a nui à de nombreux concurrents (y compris de grandes plateformes institutionnelles), l’idée que quelqu’un puisse payer 3 millions de dollars pour faire perdre 5 millions de dollars à HL est extrêmement inquiétante.

Si cette méthode d’attaque reste possible, rien n’empêchera des acteurs plus importants de l’amplifier.

Comment l’attaque a-t-elle été menée ?

Tout d’abord, l’attaquant a retiré 3 millions de dollars en USDC depuis @okx, les a répartis sur 19 nouveaux portefeuilles, puis a envoyé tous les fonds vers Hyperliquid.

Ensuite, il a ouvert une énorme position longue à effet de levier sur le marché des contrats perpétuels HYPE / POPCAT. Il a utilisé ces 3 millions de dollars comme marge, avec un effet de levier de 5x. Au final, il contrôlait une position de 26 millions de dollars.

Jusqu’ici, tout semble normal, mais ce qui change tout, c’est que l’attaquant a placé un ordre d’achat de 20 millions de dollars autour de 0,21 $ alors que le prix était proche de 0,22 $. Cela a créé l’illusion d’un fort support : « Regardez, il y a un acheteur massif ici, le prix ne devrait pas passer en dessous. » En voyant cela, d’autres traders ont pensé qu’il y avait beaucoup de capitaux pour soutenir le prix, alors ils sont aussi passés à l’achat. Ainsi, de plus en plus de personnes ont pris des positions longues à effet de levier ou n’ont pas suffisamment couvert leur risque, car ils se sentaient protégés par ce « mur ».

Mais ce n’était pas un vrai support, c’était un piège.

Une fois qu’assez de traders étaient du côté long, l’attaquant a retiré ce faux mur d’achat, rendant la liquidité instantanément très faible, sans aucun vrai support en dessous.

Le prix a alors commencé à chuter, les traders à effet de levier ont commencé à être liquidés, ce qui a entraîné davantage de ventes, lesquelles ont déclenché encore plus de liquidations. C’est une réaction en chaîne de liquidations typique, mais ici, elle a été conçue de manière délibérée.

À la fin de cette réaction en chaîne, de nombreux traders ont été liquidés, mais selon le fonctionnement du système, c’est le coffre du protocole qui a finalement supporté une perte de 4,9 millions de dollars.

On-chain, la position de marge de 3 millions de dollars de l’attaquant semble totalement anéantie.

Sur le papier :

• Attaquant : -3 millions de dollars
• Coffre HLP : -5 millions de dollars

Cela ressemble à une attaque « kamikaze ».

Qu’est-ce que le HLP et pourquoi a-t-il subi la perte ?

On peut considérer le HLP comme un grand coffre partagé, principalement financé en USDC, qui sert de contrepartie finale à tous les traders sur Hyperliquid.

Les utilisateurs déposent des USDC dans le HLP. En échange, ils :

• Fournissent de la liquidité au système
• Assument le risque
• Gagnent des frais/revenus lorsque les traders perdent ou paient des taux de financement

Pour simplifier à l’extrême :

• Si les traders perdent de l’argent, le HLP gagne (le coffre grossit).
• Si les traders gagnent de l’argent, le HLP paie (le coffre diminue).

C’est un peu comme une combinaison géante de market maker automatisé et de fonds d’assurance.

Ainsi, si un marché (comme POPCAT/HYPE) s’effondre, le HLP global encaisse le choc. Globalement, le HLP a été très rentable et, sur le long terme, il a toujours gagné de l’argent. Au total, il a généré 118 millions de dollars de bénéfices nets. Comparé à ces gains accumulés depuis sa création, cette attaque de 5 millions de dollars paraît négligeable.

La question principale est : pourquoi le HLP a-t-il subi une perte de 5 millions de dollars ici ?

Dans un marché stable et normal, les traders sont liquidés avant d’être totalement anéantis, leurs pertes couvrant les gains des gagnants, et le système reste globalement équilibré.

Mais lors d’un tel krach :

• Les mouvements de prix sont trop rapides
• La liquidité disparaît au moment le plus critique
• Certaines positions sont difficiles, voire impossibles, à clôturer à un prix équitable
• Le slippage peut devenir énorme
• Les liquidations ne couvrent pas toujours la totalité des montants dus

L’écart entre ce que la partie perdante aurait dû payer et ce que le système a effectivement récupéré on-chain est finalement supporté par le coffre HLP.

Et c’est précisément cet aspect qui est effrayant du point de vue du risque protocolaire.

L’attaquant a-t-il vraiment brûlé 3 millions de dollars ?

Je ne pense pas que l’attaquant ait réellement perdu 3 millions de dollars. Il est presque certain qu’il s’est couvert ailleurs (exchange centralisé, options, autres contrats perpétuels, voire OTC).

Par exemple, il aurait pu :

Prendre une position opposée sur un autre exchange (shorter POPCAT / risque corrélé)

Construire une stratégie neutre pour profiter du déséquilibre sur Hyperliquid

Utiliser des accords OTC profitant de la perte d’un contrepartie d’Hyperliquid

Nous n’avons pas de preuve publique de cette couverture.

Mais d’un point de vue théorie des jeux et efficacité du capital, cette explication est beaucoup plus logique.

Dans ce cas, le P&L réel de l’attaquant ≈ 0 voire positif, tandis que le coffre HLP d’Hyperliquid supporte seul une perte nette de 5 millions de dollars.

Tester la théorie

Cela pourrait être un test d’attaque. Pour un acteur bien capitalisé, il s’agit d’une attaque « à petite échelle », juste assez grande pour observer la réaction du système, le mouvement du HLP, la rapidité de réaction de l’équipe, la profondeur réelle du coffre et l’efficacité des mesures d’urgence comme le bridge lock.

Quand on pense comme un attaquant professionnel ou un concurrent bien financé, 3 millions de dollars ne sont pas forcément une perte, mais un budget de R&D. Une façon de se préparer à une attaque plus grande, plus coordonnée, mieux couverte, visant non seulement à vider les fonds mais aussi à saper la confiance centrale.

Comment Hyperliquid peut-il se défendre contre ce type d’attaque ?

Tout d’abord, ils peuvent limiter l’exposition au risque qu’un seul acteur peut prendre, même en utilisant plusieurs portefeuilles (via des heuristiques : schémas de financement, timing, IP, comportement). Ils peuvent aussi imposer des exigences de marge plus strictes lorsque le carnet d’ordres est fortement déséquilibré. Globalement, il faut rendre beaucoup plus coûteux la création de positions directionnelles massives susceptibles de détruire le HLP d’un coup.

Pour renforcer la sécurité du marché, ils peuvent mettre en place des mécanismes de circuit breaker et de protection contre la volatilité sur chaque marché, afin de ralentir la vitesse du marché lorsque le prix bouge trop vite dans des conditions de faible liquidité et de gros open interest.

Les actifs à faible liquidité peuvent aussi suivre des règles plus strictes, empêchant un seul acteur de manipuler le marché aussi facilement. L’idée est que lorsque quelqu’un tente une attaque kamikaze, le système passe en mode défensif avant que le HLP n’absorbe les pertes.

Le HLP lui-même peut aussi évoluer d’une contrepartie passive la plupart du temps vers un carnet plus intelligent et partiellement couvert. Cela pourrait inclure une couverture automatique des expositions extrêmes sur des plateformes externes, la limitation du risque par actif, voire la division du coffre en un noyau conservateur et une petite portion optionnelle à haute volatilité. Cela rendrait le HLP beaucoup plus difficile à attaquer.

Enfin, une meilleure détection des ordres trompeurs et des faux murs d’ordres aiderait à empêcher le système de se fier à des signaux de liquidité trompeurs. En intégrant cela dans le prix de référence et le moteur de risque, un seul faux mur d’ordres ne pourra plus fausser l’évaluation du risque.