MetaMask 资安人员 Taylor Monahan (@tayvano_) 警示了北韩骇客在近期最红链上交易所 Hyperliquid 的活动,点燃了与 Hyperliquid 支持者社群的战火,在逐日稳健上涨的 HYPE 前,泼上这盆冷水,势必不是社群愿意见到的。Hyperliquid 与北韩骇客之间发生什么事,Hyperliquid 又如何回应呢?
Table of Contents
ToggleMetaMask 资安人员 Taylor Monahan:Hyperliquid 可能陷入大麻烦
MetaMask 资安人员 Taylor Monahan 于 12/23 揭露,有被标注为北韩骇客的地址,进驻 Hyperliquid 进行交易,以 20 倍杠杆看多 ETH,最终惨赔 70 万美元作收。这对 Monahan 是个非常危急的信号:
「那些认为 Hyperliquid 的风险是被美国政府冻结资金的都是蠢蛋,北韩骇客是不会炒币的,他们只会『测试』。」
Monahan 告诉 Hyperliquid,她或是她的同事愿意提供协助,督促 Hyperliquid 快点硬起来,面对北韩骇客的侵袭。她表示,要是她是 Hyperliquid 仅有四个验证器的管理员,早就吓死了。
Hyperliquid 系统有风险的理由
Monahan 解释,Hyperliquid 验证器不超过 4 个,并且都运行相同的代码,也可能并置。集中式基础设施、构建系统等由数量不详的创办人、主管和工程师维护和造访,他们使用相同的设备访问所述系统,就像他们与人交谈、与 VC 通话、阅读 twitter 等一样。
初始输入将与往常相同:来自他们认识或应该知道的人的消息,其中包含目标应该阅读并希望阅读的引人注目的连结或文档。
她表示:「那会悄无声息地送入恶意软体。恶意软体将是相同的变体,我们以前见过。如果他们真的想快速行动,他们会利用 chrome 0day 来攻击,但在这里不是必需的,所以他们不会。」
她强调,攻击本身就是为了钱,只要他们取得造访权,就会窃取所有资金。你可以透过强化安全性来缓解风险,在这种情况下,教育、限制造访、监控 、检测将大有可为。不要将鸡蛋放在同一个篮子中,别让所有人都用的预构建未签名二进位档。这些也是 DeFi 协议从不做的事情,因为他们忙于审计他们的智能合约、做代币经济学和发推文。
「如果你不相信我,请询问团队是否每个可以造访关键系统的工程师都使用由 Hyperliquid 管理的专用设备。」答案会是否定的,Monahan 表示。那会是他们的个人装置,没有防毒软体 (AVS) 与端点侦测与回应(EDR) 解决方案。事实上他们根本不知道自己有没有中毒,他们只知道还没有被骇走资金。
担心太多?先知告诉你快跑?
评论认为,Monahan 的假设如果是真的,那确实值得担心。但或许这一切基本的资安问题,Hyperliquid 都已经准备好了。
也有评论表示,自己曾多次成为朝鲜的目标。骇客不断尝试存取帐户、钓鱼等。而 Monahan 是他求助的第一个人。如果她主动保护你,寻求说明,那应该是可信的。许多相信 Monahan 的人们表示,虽然她讲话总是不好听,但她是非常关心产业资安的人,并且乐于助人。
尚未能预估的中心化风险
补充另一点可能风险,Hyperliquid 采取订单簿模式,尽管用户是使用自有钱包,但仍须将资金转入 Hyperliquid 才能交易 ; 这意味著,当用户将资金安全转出至自有钱包后,才是自托管资产。本质上与中心化交易所类同,但当前的中心化交易所由于托管用户资金,具有防范洗钱与反资恐的责任,做好 KYC (用户个资验证) 是基本条件。Hyperliquid 当前踩著链上应用的表象,若有北韩骇客等国际关注的资金涉入,确实可能带来进一步监管风险。
Hyperliquid 强势回应:没有问题
对于 Monahan 的警告,Hyperliquid 在 Discord 强势回应:
「Hyperliquid Labs 了解到有关据称由北韩 (DPRK) 地址活动的回报。此处澄清,Hyperliquid 并未遭受北韩攻击或任何形式的攻击。所有用户资金均已核对无误。
Hyperliquid Labs 对操作安全 (opsec) 一向高度重视。目前未有任何一方通报漏洞。如以往一样,我们设有慷慨的漏洞回报奖励计划,并采用业界顶尖标准进行区块链分析。
此前,有人声称为资安相关方试图联系。需要澄清的是,从未有任何关于 Hyperliquid 遭到攻击的指控。该方将一个诈骗帐号添加到群组聊天中,随后以侮辱性语言进行沟通。鉴于对方所展现的专业水准,开发团队改而与值得信任的合作伙伴交流,并确认其运作已遵循最佳实务标准。」
Hyperliquid 面临近期大幅 USDC 流出
据 Dune Analytics 统计,在此事件传出后,目前仍架构在 Arbitrum 的 Hyperliquid,连续千万等级的 USDC 流出。总累计资金一度高达 20.6 亿 USDC 的 Hyperliquid,目前剩下 16.75 亿 USDC。
不过,HYPE 代币本身并未受到影响,日涨幅近 5%,仍处于 29.95 美元。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
