Hyperliquid 漏洞利用事件始末

2025年3月，去中心化交易所 (DEX) Hyperliquid 遭遇了一场疯狂的漏洞利用事件，震惊了整个加密货币社区。一位交易员运用一些堪称“银河大脑”级别的策略，操纵了一种名为 JELLYJELLY 的鲜为人知的代币价格，使 Hyperliquid 陷入困境。Arkham 在 X 上的帖子 详细描述了此次事件，暴露了 DEX 系统中的漏洞，并引发了关于它们与中心化交易所 (CEX) 相比的可靠性的争论。让我们来深入了解一下。

准备阶段：交易员对 JELLYJELLY 的豪赌

该交易员首先在短短五分钟内，通过三个 Hyperliquid 账户存入了 716.7 万美元。然后，这些账户对 JELLYJELLY 进行了杠杆交易。JELLYJELLY 是一种流动性较低的代币，当时市值约为 2000 万美元。以下是这些账户扮演的角色：

• ​账户 1 (0x20e8…)​​：持有 215 万美元的多头头寸，最终获利 90 万美元。
• ​账户 2 (0x67fe…)​​：持有 190 万美元的多头头寸，但损失了 16.7 万美元。
• ​账户 3 (0xde95…)​​：持有高达 410 万美元的空头头寸，损失了 76.7 万美元。

交易员的策略是什么？利用多头头寸拉高 JELLYJELLY 的价格，而空头头寸则旨在利用 Hyperliquid 的清算系统。通过创建相反的交易，交易员旨在耗尽 Hyperliquid 的 Hyperliquidity Provider Vault (HLP) 中的资金，该金库负责处理头寸不利时的清算。

价格暴涨和清算混乱

JELLYJELLY 的价格飙升超过 400%，在不到一个小时的时间里，从 1000 万美元的市值跃升至超过 5000 万美元。这种快速上涨导致 410 万美元的空头头寸进入清算。通常，Hyperliquid 的 HLP 会通过出售资产来清算此类头寸，但这个空头头寸的规模太大，无法顺利清算。HLP 吸收了这个头寸，如果价格继续上涨，将面临高达 1200 万美元的潜在损失。

与此同时，交易员试图从持有数百万美元未实现利润的多头头寸账户中提取资金。他们在 UTC 时间 12:43 成功提款，但 Hyperliquid 发现了这一情况，并在 UTC 时间 12:50 将这些账户限制为“仅减仓”订单，停止了进一步的提款。然后，交易员开始在市场上出售他们的 JELLYJELLY 持有量，试图兑现他们的收益。

Hyperliquid 的反应：关闭市场

Hyperliquid 最终介入并关闭了 JELLYJELLY 市场，将价格设定为 0.0095 美元——即空头头寸的开仓水平。此举使交易员多头头寸账户上的浮动利润归零，有效地阻止了漏洞利用。根据 Arkham 的帖子，该交易员存入了 717 万美元，提取了 626 万美元，在 Hyperliquid 上留下了 90 万美元的余额。如果他们无法提取这笔钱，他们将损失 100 万美元。如果他们可以提取，他们只会损失 4000 美元——对于如此大胆的举动来说，这是一个很小的代价。

Hyperliquid 后来在 X 上宣布，在他们的验证者集合对该决定进行投票后，他们下架了 JELLYJELLY 永续合约。他们承诺使用 Hyper Foundation 的资金让所有用户（标记账户除外）获得补偿，更多细节将在稍后公布。

这件事为何重要：DEX 漏洞暴露

这次漏洞利用不仅仅是一次性的闹剧——它暴露了像 Hyperliquid 这样的去中心化交易所的一些严重问题。让我们来分析一下更大的局面。

清算机制受到审查

Hyperliquid 在其自己的 Layer-1 区块链 HyperEVM 上运行，使用完全链上的订单簿和一种名为 HyperBFT 的权益证明共识。这种设置旨在提高速度和透明度，但 JELLYJELLY 事件表明，流动性不足的代币如何被武器化。旨在处理清算的 HLP 金库无法管理大规模的空头头寸，使整个平台面临风险。Crypto Briefing 报道称，如果 JELLYJELLY 的市值达到 1.5 亿美元，Hyperliquid 的清算金库可能会面临完全清算。

去中心化系统中的中心化控制？

该事件还引发了关于 Hyperliquid 去中心化程度的质疑。当平台关闭 JELLYJELLY 市场并手动设定价格时，它暴露了一种中心化控制，这与 DEX 的精神不符。GracyBitget 在 X 上指出，这种“不成熟和不专业”的处理方式让人对 Hyperliquid 的诚信产生怀疑。有些人甚至将其与臭名昭著的 FTX 崩盘相提并论，警告说如果 Hyperliquid 不解决这些缺陷，可能会走上类似的道路。

对 DEX 可靠性的更广泛影响

JELLYJELLY 漏洞利用事件引发了 X 上关于 DEX 可靠性的热门讨论。一份趋势总结指出，交易员的行为迫使 Hyperliquid 在 1200 万美元的损失和暴露其中心化控制之间做出选择，引发了关于 DEX 在稳定性方面是否能真正与 CEX 竞争的争论。与中心化交易所不同，像 Hyperliquid 这样的 DEX 没有中介机构，这减少了一些风险（如黑客攻击），但也引入了其他风险，如价格操纵和清算失败。该事件表明，一个不良行为者如何利用这些漏洞，可能侵蚀对去中心化平台的信任。

Hyperliquid 和 DEX 的未来是什么？

Hyperliquid 设法避免了灾难性的损失，而且在尘埃落定后，他们的 HLP 金库甚至获得了 70 万美元的利润。但该事件留下了一个印记。正如他们的官方声明中指出的那样，该平台承诺进行技术改进，并提高其验证者投票系统的透明度。他们还承诺赔偿受影响的用户，这可能有助于重建信任。

对于更广泛的 DEX 领域来说，这一事件敲响了警钟。平台需要重新考虑他们的清算机制，特别是对于流动性较低的代币，并确保他们的系统能够处理极端的市场操纵。随着 DeFi 的持续增长，此类事件突显了对更好治理、更强大的预言机系统（以防止价格操纵）以及中心化和去中心化控制之间更明确界限的需求。

JELLYJELLY 漏洞利用事件可能会被认为是 2025 年最胆大的 DeFi 行为之一，但它也提醒我们，伟大的创新伴随着巨大的风险。如果您在 DEX 上进行交易，请保持警惕——因为加密货币的狂野西部仍然非常活跃。