어제 밤, 암호화폐 커뮤니티에서는 "HYPER는 재평가되어야 한다"라고 떠들썩했습니다. 그 이유는 고성능 체인 상 파생상품 거래소인 Hyperliquid에서 다시 HLP 유동성 금고(Vault)가 공격당했다는 소식이 전해졌고, 이로 인해 약 수백만 달러가 시장 조작자에 의해 좌측 숏, 우측 현물로 처리되어 큰 손실을 입었기 때문입니다.
이 사건은 다시 한번 DeFi에 근본적이고 날카로운 문제를 제기했습니다: '탈중앙화' 거래소의 기반 시설이 실제로 단일 팀에 의해 고도로 통제될 때, 그 경계선은 어디인가? (현재) 가장 좋은 보안 메커니즘은 사실 사람인가? Hyperliquid는 아마도 현재 많은 온체인 탈중앙화 거래소(DEX)가 중앙화 거래소(CEX)의 지배적 위치에 도전할 때 직면하는 어려움의 축소판일 것입니다.
회고: 치밀하게 설계된 시장 조작
어젯밤 Hyper에서의 시장 조작은 전통적인 스마트 계약 취약점을 이용한 것이 아니었습니다. 공격자는 Hyperliquid의 HLP 금고 메커니즘을 정확히 노렸습니다. 이 금고는 GMX의 GLP와 유사하게, 사용자가 자산 포트폴리오(스테이블코인, 이더리움, 비트코인 등)를 예치하여 HLP 토큰을 얻고, 플랫폼 거래자의 상대방으로서 거래 수수료와 손익을 공유할 수 있습니다.
핵심 문제는 HLP 가격 계산 방식에 있었습니다. 공격자는 Hyperliquid 플랫폼에서 유동성이 상대적으로 낮은 일부 거래 쌍에 대해 극단적인 조작(예: 단기간에 대량 자금 투입으로 가격 끌어올리기 또는 시장 붕괴)을 통해 이러한 자산의 '태그 가격'을 인위적으로 왜곡했습니다. HLP의 순자산 계산이 보유 자산의 태그 가격에 의존하기 때문에, 이러한 가격 왜곡으로 HLP의 가치가 순간적으로 크게 상승했습니다.
이후 공격자는 '부풀려진' HLP를 담보로 Hyperliquid 플랫폼에서 실제 가치를 크게 초과하는 다른 자산(스테이블코인 등)을 대출받아 최종적으로 이러한 자산을 인출했고, 가치가 과대평가된 HLP와 실제 자산 손실을 남겼으며, 이러한 손실은 결국 HLP 금고의 다른 유동성 공급자들이 부담하게 되었습니다. JellyJelly 사건으로 인한 손실은 약 400만 달러로 추정되며, 공식 보상이 없다면 이러한 손실은 명목상 예금 사용자들의 몫이 됩니다.
(이하 생략)성능과 비용: Layer 2와 전용 애플리케이션 체인(예: Hyperliquid L1)이 성능 문제를 해결하려 하지만, 중앙화 거래소(CEX)의 매칭 엔진 효율성에 비해 여전히 격차가 있습니다. 동시에, 온체인 상호작용은 불가피하게 가스 수수료를 발생시킵니다(L2에서도 존재).
보안 리스크: 중앙화 거래소(CEX)의 주요 리스크는 플랫폼 자체의 보안(해커 공격, 내부 악의)과 수탁 리스크입니다. 탈중앙화 거래소(DEX)는 피싱 가능성뿐만 아니라 스마트 컨트랙트 취약점, 가격 오라클 조작, 플래시 론 공격, 경제 모델 설계 결함 등 다양한 온체인 고유 리스크에 직면해 있어 방어가 어렵습니다. 이번 Hyperliquid 사건에서 보듯이, 컨트랙트 자체에 취약점이 없더라도 자동화된 마켓 마이커(AMM) 메커니즘을 둘러싼 공격으로 막대한 손실을 초래할 수 있습니다.
Hyperliquid와 그것이 대표하는 '애플리케이션 체인 탈중앙화 거래소' 모델은 성능과 탈중앙화 사이의 균형을 찾으려 시도하지만, 사실상 전통적인 중앙화 거래소의 서버를 온체인에 연결한 것에 불과합니다. 마치 PoS 작동 메커니즘이 처음 유행했을 때 많은 사람들이 '서버 체인'이라고 조롱했던 것처럼. 이번 JELLY 사건과 같은 상황이 발생하면, 그 잠재적인 '원죄'가 분명히 드러납니다 - 위기를 막을 수 있는 것은 중앙화이고, 신속하게 플러그를 뽑을 수 있는 것은 사람입니다. 프로그램이 아직 충분히 좋지 않을 때, 모든 계획이 실패로 돌아가는 상황에서 마지막에 결정적인 조치를 취하는 것은 여전히 사람입니다.
