Exploit del Protocollo HyperDrive DeFi
Il protocollo HyperDrive DeFi ha subito un exploit di $773.000 che ha colpito due account nel suo mercato dei Treasury Bill. I fondi rubati sono stati divisi tra le reti BNB Chain ed Ethereum tramite trasferimenti bridge. L’attacco ha compromesso posizioni che utilizzavano il thBILL di Theo Network come collaterale, portando alla sospensione immediata di tutti i mercati monetari e dei prelievi sulla piattaforma.
Dettagli dell’Attacco
Questo è il secondo grande exploit che colpisce l’ecosistema Hyperliquid in 72 ore. L’analisi di CertiK ha rivelato che l’attaccante ha sfruttato una vulnerabilità di chiamata arbitraria nel contratto del router, rubando 672.934 USDT e 110.244 token thBILL. I fondi rubati sono stati trasferiti tramite il protocollo deBridge, con circa $494.000 spostati su Ethereum e $279.000 su BNB Chain prima di essere consolidati in un unico indirizzo.
Implicazioni e Risposta
L’incidente segna la seconda grave violazione della sicurezza che colpisce l’ecosistema di Hyperliquid in tre giorni, dopo il rug pull di $3,6 milioni di HyperVault, in cui gli sviluppatori sono scomparsi dopo aver cancellato tutti i loro account sui social media.
I funzionari di HyperDrive hanno confermato che l’exploit era limitato al Mercato Primario USDT e al Mercato USDT del Tesoro, senza impatto sul token nativo HYPED del protocollo. Il team ha coinvolto esperti di sicurezza e forense mentre esplora piani di compensazione per gli utenti colpiti.
Analisi della Vulnerabilità
La vulnerabilità del router ha consentito l’estrazione sistematica di fondi. L’attaccante ha sfruttato ripetutamente un difetto critico nel contratto del router di HyperDrive, che permetteva chiamate di funzione arbitrarie, bypassando così le normali restrizioni di sicurezza e drenando i fondi degli utenti. L’analisi forense di CertiK ha identificato la vulnerabilità specifica che ha consentito l’estrazione sistematica di fondi dal Mercato dei Treasury thBILL.
È interessante notare che gli esperti di sicurezza hanno ipotizzato che l’approccio metodico dell’attaccante suggerisca un alto livello di conoscenza della meccanica interna del protocollo e dell’architettura dei contratti intelligenti. Hanno notato che i fondi rubati sono stati rapidamente spostati off-chain tramite deBridge, un protocollo cross-chain che facilita i trasferimenti di asset tra diverse reti blockchain.
Risposta del Team di HyperDrive
Il team di HyperDrive ha contattato l’exploitante on-chain, offrendo una ricompensa del 10% in white-hat in cambio del ritorno dei fondi rimanenti. Il protocollo ha sospeso tutte le operazioni di mercato e le funzioni di prelievo per prevenire ulteriori attività dannose mentre indaga sull’intera portata del compromesso.
Contesto di Sicurezza nell’Ecosistema Hyperliquid
L’incidente ha spinto a revisioni di sicurezza più ampie nell’ecosistema di Hyperliquid, poiché più progetti che si costruiscono sulla piattaforma affrontano un aumento del controllo dopo l’ultima ondata di exploit e rug pulls.
L’ecosistema Hyperliquid è sotto assedio da molteplici minacce. L’exploit di HyperDrive aggrava la pressione su Hyperliquid dopo il devastante rug pull di HyperVault, avvenuto solo 48 ore prima, dove gli sviluppatori sono scomparsi con $3,6 milioni dopo aver depositato ETH rubato in Tornado Cash.
Incidenti di Sicurezza Precedenti
La truffa di HyperVault ha ignorato i primi avvertimenti della comunità riguardo a presunti audit falsificati da parte di aziende rispettabili. Gli incidenti di sicurezza precedenti includono la manipolazione del token JELLY di marzo, che è costata al vault di Hyperliquid $13,5 milioni attraverso pompaggio artificiale dei prezzi e sfruttamento di posizioni a leva.
Il trader “ETH 50x Big Guy” ha guadagnato similmente $1,8 milioni di profitto causando perdite di $4 milioni nel vault.
Competizione e Sviluppi Recenti
Questi attacchi si verificano mentre ASTER DEX sfida il dominio di mercato di Hyperliquid, elaborando oltre $13 miliardi in volume di futures perpetui giornalieri rispetto all’attività ridotta di Hyperliquid. Inoltre, ASTER ha recentemente integrato Trust Wallet, fornendo a 100 milioni di utenti accesso diretto ai contratti perpetui.
Arthur Hayes ha precedentemente liquidato la sua intera posizione HYPE per un profitto di $823.000, citando massicci sblocchi di token del valore di $11,9 miliardi a partire dal 29 novembre. Recentemente ha sondato i suoi follower riguardo a un possibile reinserimento in HYPE dopo che il token è sceso del 23% in una settimana a $35,50.
Nonostante le sfide di sicurezza, Hyperliquid ha lanciato il suo stablecoin nativo USDH il 24 settembre, generando $2,2 milioni in volume di trading iniziale. Native Markets ha ottenuto il mandato di emissione dello stablecoin dopo aver sconfitto attori consolidati, tra cui Paxos ed Ethena Labs, attraverso votazioni di governance competitive.
La piattaforma ha anche attivato il trading spot HYPE/USDH dopo l’impegno triennale di Native Markets di mettere in stake 200.000 token HYPE. Dopo il movimento della balena Hayes per scaricare HYPE, citando problemi con l’offerta di tokenomics di HYPE, il gestore patrimoniale DBA ha proposto di ridurre l’offerta totale di HYPE del 45% per migliorare le tokenomics. Tuttavia, i critici hanno avvertito che ciò potrebbe limitare la flessibilità di crescita futura.
