Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
Un nuovo attacco al DEX di Hyperliquid: è quanto accaduto nella giornata di ieri quando un trader anonimo si è letteralmente fatto autoliquidare dalla sua gigante posizione long sul token $POPCAT, richiedendo l’intervento del vault HLP, il quale è stato obbligato a subire una perdita di $5 milioni a causa del bad debt.
Non è la prima volta che qualcuno prova a mettere i bastoni alle ruote al noto perp DEX, ma anche in questa occasione non ci sono stati danni particolarmente gravi. Il danno è stato contenuto ad appena l’1% del valore del vault, che ricordiamo serve proprio ad assorbire le posizioni liquidate dagli utenti, come cuscinetto di liquidità. Vediamo nel dettaglio come è avvenuto l’attacco.
Caos Hyperliquid: cosa è successo?
Tutto ha inizio nella mattinata di ieri quando un indirizzo sconosciuto ha prelevato $3 milioni di USDC dall’exchange OKX spostando le monete su 19 wallet differenti. Da lì, lo stesso soggetto ha iniziato ad acquistare in modo aggressivo la memecoin $POPCAT, aprendo in poche ore diverse posizioni long in leva su Hyperliquid per un’esposizione totale di circa $30 milioni (leva 10x).
I prezzi sono schizzati del +40% in breve tempo raggiungendo un massimo di $0,21 per token, aiutati soprattutto da un muro progressivo di acquisti limit posizionati dal trader per bloccare ogni tentativo di correzione. Poi però è successo qualcosa di inaspettato.
Lo stesso trader che stava manipolando $POPCAT, facilitato dalla scarsa liquidità del mercato, ha di colpo rimosso i suoi buy order a limit che facevano da scudo per la price action, ed il prezzo della crypto è crollato all’istante. In pochi secondi nel mezzo del crash la sua posizione è stata completamente liquidata, portando alla creazione di bad debt, anche detto in italiano crediti inesigibili.
Come funziona il bad debt e cosa c’entra il vault HLP?
Per spiegare cos’è il bad debt, dobbiamo prima comprendere il funzionamento dei mercati futures a leva ed il concetto di profondità di mercato. Quando qualcuno apre una posizione in leva, sostanzialmente prende in prestito dei fondi dall’exchange per amplificare la propria esposizione. Se la moneta su cui si sta scommettendo va contro la direzione del trade ed il margine depositato non è più sufficiente a coprire le perdite, il sistema forza la chiusura della posizione tramite la liquidazione.
Fino a qui tutto nella norma, ma può capitare che in condizioni di elevata volatilità, il prezzo della moneta si muova così velocemente da superare il livello entro cui la posizione dovrebbe essere liquidata, sostanzialmente perché non c’è nessuno che accetta di comprare/vendere in quel frangente (ergo, c’è poca profondità). In quei casi si genera il bad debt, cioè una perdita per l’exchange, che deve riversare in qualche modo agli utenti, pena l’implosione del sistema.
Ecco che spesso nei mercati futures esistono dei cuscinetti di liquidità che mettono una pezza sopra questo bad debt, impiegando denaro esternamente. Su Hyperliquid questo cuscinetto è dato dal vault HLP, finanziato dagli utenti che in cambio ricevono un rendimento promesso dal protocollo. Il fondo si prende in carico le posizioni liquidate dal mercato e cerca di chiuderle traendo un piccolo profitto tramite attività di market making.
Solitamente se anche il cuscinetto non basta, interviene l’ADL. Non entriamo nei dettagli di come funzioni: ne abbiamo parlato in questo articolo in occasione del crollo del 10 ottobre.
Vault HLP perde $5 milioni dopo la manipolazione
Dopo questa breve spiegazione del bad debt, possiamo tornare alla nostra vicenda. La liquidazione forzata su $POPCAT, come detto sopra, ha innescato un buco di liquidità su cui è dovuto intervenire il vault HLP, il quale appunto si è preso in gestione il long liquidato. Non essendoci liquidità sufficiente, Hyperliquid ha deciso di chiudere manualmente la posizione per una perdita di $5 milioni (c’è un tetto di perdita massima per ogni pair).
Una cifra che non spaventa la solvibilità dell’HLP, visto che ci sono ancora $519 milioni di USDC liquidi con un PNL complessivo di +$117 milioni al momento della stesura, ma che comunque rappresenta una bella batosta per chi ha depositato di recente sul vault. In particolare tutti i profitti registrati nell’arco dell’ultimo mese sono stati bruciati dalla perdita di ieri..
Stop dei prelievi da parte dell’Arbitrum Bridge
L’attacco al vault di Hyperliquid pare aver triggerato anche una serie di condizioni di sicurezza che hanno bloccato depositi e prelievi operanti tramite il bridge di Arbitrum. In poche parole, si tratta di una sorta di airbag che viene attivato quando si riscontrano anomalie nel sistema che potrebbero drenare la liquidità interna.
Dopo appena 25 minuti dallo stop, depositi e prelievi hanno ricominciato ad essere processati normalmente dalla rete. Qualcuno ne ha approfittato per diffondere FUD sulla sostenibilità di Hyperliquid, ma in realtà tutto ha funzionato come previsto.
Il secondo di una lunga serie di possibili futuri attacchi
Senza ombra di dubbio quanto è accaduto rappresenta un attacco sanguinoso al trono di Hyperliquid. Nessuno sano di mente si fa autoliquidare per $3 milioni, tra l’altro all’interno di un mercato chiuso come quello di Hyperliquid dove i validatori hanno il diritto di muoversi in modo arbitrario. Chi può essere stato? Senza accusare nessuno, possiamo dire che è stato probabilmente qualcuno a cui Hyperliquid sta scomodo per n fattori.
Abbiamo già assistito ad un epilogo simile qualche mese fa tramite la liquidazione forzata del token $JELLYJELLY. In quel caso il buco era ben maggiore ed i validatori della chain hanno scelto di delistare il token evitando conseguenze potenzialmente disastrose al proprio vault. Ieri l’impatto è stato meno distruttivo, tanto da non richiedere interventi coordinati in extremis da parte del team di Hyperliquid.
Questo però ci ricorda quanto i token illiquidi possano essere sfruttati da attori malintenzionati e come in un certo senso tutto ciò rappresenta il tallone d’Achille di Hyperliquid. In futuro qualcuno ci riproverà sicuramente a creare nuovi disturbi, ma siamo fiduciosi che un mix di misure di sicurezza emergenziali, condito da un tocco di gestione centralizzata dei validator (non è sempre il male più assoluto la centralizzazione, ndr) potrà salvare la baracca dalle future minacce.
Nel frattempo anche ieri Hyperliquid ha incassato $2,8 milioni di commissioni, confermandosi come uno dei progetti più redditizi, e scomodi, dell’intero mondo crypto.
