MetaMask 資安人員 Taylor Monahan (@tayvano_) 警示了北韓駭客在近期最紅鏈上交易所 Hyperliquid 的活動,點燃了與 Hyperliquid 支持者社群的戰火,在逐日穩健上漲的 HYPE 前,潑上這盆冷水,勢必不是社群願意見到的。Hyperliquid 與北韓駭客之間發生什麼事,Hyperliquid 又如何回應呢?
Table of Contents
ToggleMetaMask 資安人員 Taylor Monahan:Hyperliquid 可能陷入大麻煩
MetaMask 資安人員 Taylor Monahan 於 12/23 揭露,有被標註為北韓駭客的地址,進駐 Hyperliquid 進行交易,以 20 倍槓桿看多 ETH,最終慘賠 70 萬美元作收。這對 Monahan 是個非常危急的信號:
「那些認為 Hyperliquid 的風險是被美國政府凍結資金的都是蠢蛋,北韓駭客是不會炒幣的,他們只會『測試』。」
Monahan 告訴 Hyperliquid,她或是她的同事願意提供協助,督促 Hyperliquid 快點硬起來,面對北韓駭客的侵襲。她表示,要是她是 Hyperliquid 僅有四個驗證器的管理員,早就嚇死了。
Hyperliquid 系統有風險的理由
Monahan 解釋,Hyperliquid 驗證器不超過 4 個,並且都運行相同的代碼,也可能並置。集中式基礎設施、構建系統等由數量不詳的創辦人、主管和工程師維護和造訪,他們使用相同的設備訪問所述系統,就像他們與人交談、與 VC 通話、閱讀 twitter 等一樣。
初始輸入將與往常相同:來自他們認識或應該知道的人的消息,其中包含目標應該閱讀並希望閱讀的引人注目的連結或文檔。
她表示:「那會悄無聲息地送入惡意軟體。惡意軟體將是相同的變體,我們以前見過。如果他們真的想快速行動,他們會利用 chrome 0day 來攻擊,但在這裡不是必需的,所以他們不會。」
她強調,攻擊本身就是為了錢,只要他們取得造訪權,就會竊取所有資金。你可以透過強化安全性來緩解風險,在這種情況下,教育、限制造訪、監控 、檢測將大有可為。不要將雞蛋放在同一個籃子中,別讓所有人都用的預構建未簽名二進位檔。這些也是 DeFi 協議從不做的事情,因為他們忙於審計他們的智能合約、做代幣經濟學和發推文。
「如果你不相信我,請詢問團隊是否每個可以造訪關鍵系統的工程師都使用由 Hyperliquid 管理的專用設備。」答案會是否定的,Monahan 表示。那會是他們的個人裝置,沒有防毒軟體 (AVS) 與端點偵測與回應(EDR) 解決方案。事實上他們根本不知道自己有沒有中毒,他們只知道還沒有被駭走資金。
擔心太多?先知告訴你快跑?
評論認為,Monahan 的假設如果是真的,那確實值得擔心。但或許這一切基本的資安問題,Hyperliquid 都已經準備好了。
也有評論表示,自己曾多次成為朝鮮的目標。駭客不斷嘗試存取帳戶、釣魚等。而 Monahan 是他求助的第一個人。如果她主動保護你,尋求説明,那應該是可信的。許多相信 Monahan 的人們表示,雖然她講話總是不好聽,但她是非常關心產業資安的人,並且樂於助人。
尚未能預估的中心化風險
補充另一點可能風險,Hyperliquid 採取訂單簿模式,儘管用戶是使用自有錢包,但仍須將資金轉入 Hyperliquid 才能交易 ; 這意味著,當用戶將資金安全轉出至自有錢包後,才是自託管資產。本質上與中心化交易所類同,但當前的中心化交易所由於託管用戶資金,具有防範洗錢與反資恐的責任,做好 KYC (用戶個資驗證) 是基本條件。Hyperliquid 當前踩著鏈上應用的表象,若有北韓駭客等國際關注的資金涉入,確實可能帶來進一步監管風險。
Hyperliquid 強勢回應:沒有問題
對於 Monahan 的警告,Hyperliquid 在 Discord 強勢回應:
「Hyperliquid Labs 了解到有關據稱由北韓 (DPRK) 地址活動的回報。此處澄清,Hyperliquid 並未遭受北韓攻擊或任何形式的攻擊。所有用戶資金均已核對無誤。
Hyperliquid Labs 對操作安全 (opsec) 一向高度重視。目前未有任何一方通報漏洞。如以往一樣,我們設有慷慨的漏洞回報獎勵計劃,並採用業界頂尖標準進行區塊鏈分析。
此前,有人聲稱為資安相關方試圖聯繫。需要澄清的是,從未有任何關於 Hyperliquid 遭到攻擊的指控。該方將一個詐騙帳號添加到群組聊天中,隨後以侮辱性語言進行溝通。鑑於對方所展現的專業水準,開發團隊改而與值得信任的合作夥伴交流,並確認其運作已遵循最佳實務標準。」
Hyperliquid 面臨近期大幅 USDC 流出
據 Dune Analytics 統計,在此事件傳出後,目前仍架構在 Arbitrum 的 Hyperliquid,連續千萬等級的 USDC 流出。總累計資金一度高達 20.6 億 USDC 的 Hyperliquid,目前剩下 16.75 億 USDC。
不過,HYPE 代幣本身並未受到影響,日漲幅近 5%,仍處於 29.95 美元。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。