給 Hyperliquid(HYPE) 的致命傷：北韓駭客盯上潛伏危機、沒有 KYC 的中心化交易

Bitget App

交易「智」變

Bitget

資訊中心

Abmedia2024/12/24 00:33

作者:Elponcho

給 Hyperliquid(HYPE) 的致命傷：北韓駭客盯上潛伏危機、沒有 KYC 的中心化交易 image 0

MetaMask 資安人員 Taylor Monahan (@tayvano_) 警示了北韓駭客在近期最紅鏈上交易所 Hyperliquid 的活動，點燃了與 Hyperliquid 支持者社群的戰火，在逐日穩健上漲的 HYPE 前，潑上這盆冷水，勢必不是社群願意見到的。Hyperliquid 與北韓駭客之間發生什麼事，Hyperliquid 又如何回應呢？

(HYPE 與 VIRTUAL 是迷因世代下的綜合產品變形，還有他們的危機 feat. Alvin)

MetaMask 資安人員 Taylor Monahan：Hyperliquid 可能陷入大麻煩

MetaMask 資安人員 Taylor Monahan 於 12/23 揭露，有被標註為北韓駭客的地址，進駐 Hyperliquid 進行交易，以 20 倍槓桿看多 ETH，最終慘賠 70 萬美元作收。這對 Monahan 是個非常危急的信號：

「那些認為 Hyperliquid 的風險是被美國政府凍結資金的都是蠢蛋，北韓駭客是不會炒幣的，他們只會『測試』。」

Monahan 告訴 Hyperliquid，她或是她的同事願意提供協助，督促 Hyperliquid 快點硬起來，面對北韓駭客的侵襲。她表示，要是她是 Hyperliquid 僅有四個驗證器的管理員，早就嚇死了。

Hyperliquid 系統有風險的理由

Monahan 解釋，Hyperliquid 驗證器不超過 4 個，並且都運行相同的代碼，也可能並置。集中式基礎設施、構建系統等由數量不詳的創辦人、主管和工程師維護和造訪，他們使用相同的設備訪問所述系統，就像他們與人交談、與 VC 通話、閱讀 twitter 等一樣。

初始輸入將與往常相同：來自他們認識或應該知道的人的消息，其中包含目標應該閱讀並希望閱讀的引人注目的連結或文檔。

她表示：「那會悄無聲息地送入惡意軟體。惡意軟體將是相同的變體，我們以前見過。如果他們真的想快速行動，他們會利用 chrome 0day 來攻擊，但在這裡不是必需的，所以他們不會。」

她強調，攻擊本身就是為了錢，只要他們取得造訪權，就會竊取所有資金。你可以透過強化安全性來緩解風險，在這種情況下，教育、限制造訪、監控、檢測將大有可為。不要將雞蛋放在同一個籃子中，別讓所有人都用的預構建未簽名二進位檔。這些也是 DeFi 協議從不做的事情，因為他們忙於審計他們的智能合約、做代幣經濟學和發推文。

「如果你不相信我，請詢問團隊是否每個可以造訪關鍵系統的工程師都使用由 Hyperliquid 管理的專用設備。」答案會是否定的，Monahan 表示。那會是他們的個人裝置，沒有防毒軟體 (AVS) 與端點偵測與回應(EDR) 解決方案。事實上他們根本不知道自己有沒有中毒，他們只知道還沒有被駭走資金。

擔心太多？先知告訴你快跑？

評論認為，Monahan 的假設如果是真的，那確實值得擔心。但或許這一切基本的資安問題，Hyperliquid 都已經準備好了。

也有評論表示，自己曾多次成為朝鮮的目標。駭客不斷嘗試存取帳戶、釣魚等。而 Monahan 是他求助的第一個人。如果她主動保護你，尋求説明，那應該是可信的。許多相信 Monahan 的人們表示，雖然她講話總是不好聽，但她是非常關心產業資安的人，並且樂於助人。

尚未能預估的中心化風險

補充另一點可能風險，Hyperliquid 採取訂單簿模式，儘管用戶是使用自有錢包，但仍須將資金轉入 Hyperliquid 才能交易 ; 這意味著，當用戶將資金安全轉出至自有錢包後，才是自託管資產。本質上與中心化交易所類同，但當前的中心化交易所由於託管用戶資金，具有防範洗錢與反資恐的責任，做好 KYC (用戶個資驗證) 是基本條件。Hyperliquid 當前踩著鏈上應用的表象，若有北韓駭客等國際關注的資金涉入，確實可能帶來進一步監管風險。