游乐游手机版
首页/web3.0/文章详情

MetaMask安全专家预警:Hyperliquid或陷重大危机

时间:2026-07-10 19:01
MetaMask安全研究员警告,朝鲜黑客疑似渗透Hyperliquid进行测试,其验证器仅4个且过于集中,易受攻击。官方虽否认遭袭,但市场出现大量USDC流出,引发安全担忧。

MetaMask的安全研究员Taylor Monahan(@tayvano_)最近抛出了一枚重磅冲击波,直指眼下风头无两的链上交易所Hyperliquid,声称其正面临来自朝鲜黑客的威胁。这无疑给一路高歌猛进的HYPE代币热潮浇了一盆冷水。一边是正在兴头上的社群,一边是资安专家的严重警告,双方直接杠上了。那么,这背后到底发生了什么?Hyperliquid又是如何接招的?

免费的交易所推荐:

MetaMask资安人员Taylor Monahan:Hyperliquid可能陷入大的麻烦

12月23日,Monahan公开指出,一个被标记为与朝鲜有关联的地址,已经悄悄潜伏进Hyperliquid进行交易。该地址以20倍杠杆做多ETH,最后亏损了70万美元离场。但对Monahan来说,这区区70万美元的亏损,恰恰是最危险的信号。她直言:“那些觉得Hyperliquid的潜在风险只是被美国政府冻结资金的人,可能想得太简单了。朝鲜黑客根本不是为了炒币赚钱,他们是在‘测试’。” Monahan表示,她和她的团队愿意提供帮助,并敦促Hyperliquid迅速采取行动,认真对待这次渗透。她甚至直言,如果自己是那个只有4个验证器的系统管理员,恐怕早就吓坏了。

Hyperliquid系统有风险的理由

Monahan进一步解释了风险所在。她指出,Hyperliquid的验证器数量不超过4个,而且全都运行着相同的代码,甚至可能部署在同一个物理位置。更关键的是,这些集中式的基础设施、构建系统,实际上是由数量不详的创始人、核心成员和工程师来维护和访问的。这些人使用相同的设备去访问这些敏感系统,同时还要处理日常沟通、参加VC会议、刷推特等等。

这种情况下,攻击的初始入口会非常“常规”:黑客可能会发送一条看似来自他们认识或应该信任的人的消息,附上一个引人注目的链接或文档。一旦被打开,恶意软件就会悄无声息地植入。Monahan认为,攻击者甚至不需要动用Chrome 0day漏洞这种高级武器,现有的手段就足够了。“他们要是真想动手,根本不需要那么复杂。”她强调,攻击的目的就是为了钱,一旦获得访问权限,他们就会立刻转移所有资金。要想缓解这种风险,必须强化安全性,包括教育、限制访问权限、加强监控和检测。但现实是,许多DeFi项目往往只忙着审计智能合约、设计代币经济模型和发推文,忽略了这些基础的安全工作。Monahan打了个比方:“别把鸡蛋都放在一个篮子里,也别让所有工程师都使用同一个预构建的未签名二进制文件。如果你不信,可以去问问他们,是不是每个能访问关键系统的工程师,用的都是Hyperliquid统一管理的专用设备?”答案多半是否定的。那些工程师用的很可能就是自己的个人设备,没有安装杀毒软件,也没有端点检测与响应解决方案。他们可能根本不知道自己是否已经中毒,只是侥幸地认为还没被偷走钱。

担心太多?先知告诉你快跑?

有评论认为,如果Monahan的假设成立,那确实值得警惕。但也有人表示,或许Hyperliquid早就把这些基础的安全问题都考虑周全了。还有一位曾多次成为朝鲜黑客目标的人士站出来为Monahan说话,称自己曾向她求助,她是非常可靠且乐于助人的资安专家。很多支持Monahan的人也指出,虽然她说话有时很难听,但她对行业安全是真心的关心,并且愿意提供实际帮助。

尚未能预估的中心化风险

除了上述技术层面的风险,还有一点值得注意:Hyperliquid采用了订单簿模式,用户虽然使用自己的钱&包,但交易前必须将资金转入Hyperliquid。这意味着,只有当用户将资金安全转回自己的钱&包后,才算真正实现了资产自托管。从本质上讲,这跟中心化交易所的资金托管模式是类似的。而中心化交易所由于托管用户资金,通常需要承担反冼钱和反恐融资的责任,执行KYC(用户身份验证)是基本门槛。Hyperliquid虽然打着链上应用的旗号,但一旦涉及到朝鲜这类受国际高度关注的资金,其事实上存在的“类中心化”风险,很可能会引发更严格的监管审查。

Hyperliquid强势回应:没有问题

面对Monahan的警告,Hyperliquid在Discord上给出了强势回应:“Hyperliquid Labs了解到关于所谓朝鲜地址活动的报告。我们在此澄清,Hyperliquid并未遭受朝鲜攻击或任何形式的攻击。所有用户资金均已核对无误。Hyperliquid Labs一直高度重视操作安全。目前没有任何一方报告过漏洞。与以往一样,我们设有丰厚的漏洞报告奖励计划,并采用业界领先的区块链分析标准。此前,有人自称是安全相关方试图联系我们,但需要澄清的是,从未有过任何关于Hyperliquid遭受攻击的指控。该方将一个欺诈账号添加到群聊中,随后用侮辱性语言进行沟通。鉴于对方展现出的专业水准,我们的开发团队转而与值得信赖的合作伙伴进行了交流,并确认我们的运作已遵循最佳实践标准。”

Hyperliquid面临近期大幅USDC流出

尽管官方立场强硬,但市场反应却是诚实的。据Dune Analytics统计,在这起事件被曝光后,目前仍架构在Arbitrum上的Hyperliquid,连续出现了千万级别的USDC资金外流。其累计资金池一度高达20.6亿USDC,目前已降至16.75亿USDC。

不过,HYPE代币本身似乎并未受到太大冲击,日涨幅仍接近5%,价格维持在29.95美元附近。

MetaMask资安人员Taylor Monahan:Hyperliquid可能陷入大的麻烦

来源:https://www.jb51.net/blockchain/967176.html
上一篇Crypto.com美国上线运动赛事预测平台抢占Polymarket市场 下一篇伯恩斯坦称比特币市场已消化量子风险定价
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多