币圈子(120BTC.COm)讯:昨夜,加密社群上在喧嚣「HYPER需要重新估值了。」原因是标榜为高效能链上衍生品交易所Hyperliquid再度传出其HLP流动性金库(Vault)遭受攻击的消息,导致约数百万美元被市场操控者左手做空右手现货,狠狠割了一笔。
这起事件再度让DeFi压向了一个根本性的尖锐问题:当一个「去中心化」交易所的基础设施,实际上由单一团队高度掌控时,它与「中心化」的界线究竟在哪里?(当前)最好的安全机制其实是人吗?Hyperliquid也许是,或许正是当前众多链上DEX(去中心化交易所)在挑战CEX(中心化交易所)霸主地位时,所面临困境的缩影。
昨晚Hyper上的市场操作,并非利用传统的智能合约漏洞。攻击者似乎精准地瞄准了Hyperliquid的HLP金库机制。该金库类似于GMX的GLP,允许用户存入资产组合(如稳定币、ETH、BTC等)来获取HLP代币,作为平台交易者的对手方,分享交易手续费和盈亏。
问题的关键在于HLP价格的计算方式。攻击者透过在Hyperliquid平台上,针对某些流动性相对较差的交易对进行极端操作(例如,短时间内投入大量资金拉抬或砸盘),人为地扭曲了这些资产的「标记价格」(Mark Price)。由于HLP的净值计算依赖于其持有资产的标记价格,这种价格扭曲导致HLP的估值被瞬间大幅拉高。
随后,攻击者利用手中价值被「虚增」的HLP作为抵押品,在Hyperliquid平台上借出了远超其实际价值的其他资产(如稳定币),最终将这些资产转移抽离,留下了价值虚高的HLP和实际的资产损失,而这些损失最终由HLP金库的其他流动性提供者承担。JellyJelly事件造成的损失估计约在400万美元左右,如果没有官方补偿,这些亏损明面上是挂在存款用户头上的。
Hyperliquid是个建立在自家Layer1区块链「Hyperliquid L1」上的高性能DEX,旨在解决以太坊主网DEX速度慢、成本高的问题。理论上,这是一个追求更高效率和用户体验的技术路径,也能解决部分CEX将面临的监管问题。然而,追求操纵市场的大户从CEX都玩嗨过了,怎么可能会放过这个新的乐园?
为了实现其宣称的高吞吐量和低延迟,Hyperliquid L1目前的网络验证者(Validator)仅由官方核心团队运行。这意味着,尽管交易结算发生在区块链上,但交易的排序、验证乃至整个链的状态变更,实际上都掌握在单一实体手中,似乎很「中心化」。
这种「中心化的去中心化」模式带来了几个隐忧:
如果Hyperliquid团队的服务器或基础设施出现问题,整个交易平台可能陷入停滞。还可能让团队有能力选择性地处理交易,甚至在极端情况下进行回滚或干预(尽管目前没有证据显示他们会这么做)。
正要命的是信任度,在风暴来临时,用户必须信任Hyperliquid团队不会作恶,不会滥用专用链与协议的控制权。这与CEX需要信任交易所营运方,在本质上并无二致。连CZ都常嚷嚷着透明度带来信任,更别说Hyper才踩上DEX的本柱位置,还需更长的时间来稳稳脚步,拿币安来对标,市场量体越大的,总是越容易挨骂。
这次JELLY市场操纵事件,虽然直接原因是预言机(或标记价格计算机制)的脆弱性,但社群当前不免狂戳其背后的中心化验证者结构,这带来了另个问题:如果网路真的由单一团队控制,为何不能更快地侦测异常、介入阻止,甚至在必要时进行有利于用户的干预?
这种中心化控制权的存在,反而让HYPER在面对危机时,陷入了既无法完全撇清责任(因为有控制权直接拔线让JELLY下架),又可能因反应不够「中心化」而无法及时止损的尴尬境地(看看某间被骇的CEX反应和公关真是一流的)。
Hyperliquid的困境并非个案,它反映了当前DEX在与CEX竞争中普遍存在的挑战:
用户体验(UX)与易用性:CEX提供整合式的服务,从法币出入金、现货交易、衍生品到理财产品,通常界面友好,入门门槛较低。DEX则需要用户自行管理钱包、私钥、理解Gas费、跨链桥接等概念,对新手不够友好。
流动性与交易深度:顶级CEX汇集了全球海量用户和做市商,拥有极佳的流动性和交易深度,滑点较低。DEX的流动性相对分散在不同协议和链上,尤其对于非主流币种,深度往往不足,大额交易滑点高,这次JELLY就被狠狠利用了一把。
性能与成本:虽然Layer2和专用应用链(如Hyperliquid L1)试图解决性能问题,但相较于CEX中心化撮合引擎的效率,仍有差距。同时,链上互动不可避免地产生Gas费用(即使在L2上也存在)。
安全风险:CEX主要风险在于平台自身的安全(黑客攻击、内部作恶)和托管风险。DEX除了前端可能被钓鱼,更面临智能合约漏洞、价格预言机操纵、闪电贷攻击、经济模型设计缺陷等多重链上原生风险,防不胜防。像本次Hyperliquid事件暴露的,即使合约本身没漏洞,围绕其AMM机制的攻击也能造成巨大损失。
Hyperliquid及其代表的「应用链DEX」模式,试图在性能和去中心化之间找到平衡,或者仅嘴巴不说,只是把传统CEX的机房连到了链上,像POS工作机制刚风行时,还是不少人嘲笑是「机房链」。一但遭遇类似本次JELLY事件,就无疑暴露了其潜在的「原罪」——能阻止危机的是中心化,能快速拔插头的是人,当程式还不够好,计划都宣告失败的局面,留下断尾,按下核弹自爆钮的还是人。