POPCAT manipulation malveillante ! Hyperliquid perte de 4,9 millions de dollars, l'attaquant se détruit 3 millions.

La célèbre plateforme d'échange décentralisée de futures perpétuel Hyperliquid a récemment été victime d'une “attaque de liquidité”. Un trader a manipulé de manière malveillante le prix du jeton POPCAT, entraînant une perte de 4,9 millions de dollars pour le pool de liquidité actif de la plateforme d'échange, Hyperliquidity Provider (HLP).

Chronologie complète de l'attaque de manipulation POPCAT

(source : ArbiScan)

Selon les captures d'écran de la plateforme et les enregistrements de transactions sur le navigateur blockchain ArbiScan, Hyperliquid a suspendu les services de dépôt et de retrait du pont inter-chaînes Arbitrum vers 0h22 le 13 novembre, invoquant des « travaux de maintenance ». L'analyste on-chain MLMabc a écrit que la suspension des services de dépôt et de retrait par Hyperliquid pourrait être due à un trader effectuant des opérations massives de positions longues sur POPCAT sur la plateforme, dans le but de faire monter artificiellement le prix.

Il y a environ 13 heures, des attaquants ont retiré 3 millions de dollars USDC d'un CEX, répartis sur 19 portefeuilles. Vers 14h45, heure d'Europe centrale, il a commencé à placer environ 20 millions de dollars de positions longues POPCAT autour de 0,21 dollar. À mesure que ces positions longues s'accumulaient, la position totale des 19 portefeuilles atteignait environ 30 millions de dollars. Lorsqu'il a retiré le mur d'achat à huit chiffres, environ 20 millions à 30 millions de dollars de positions longues POPCAT ont été instantanément liquidées, forçant HLP à reprendre passivement cette position.

Les analystes ont indiqué que cette opération a entraîné une nouvelle baisse du prix de POPCAT, causant une perte d'environ 4,9 millions de dollars à HLP, et Hyperliquid a ensuite dû liquider manuellement sa position. MLMabc estime que l'action de ce trader avait l'intention de “perturber délibérément Hyperliquid”, affirmant que “personne ne peut perdre 3 millions de dollars en quelques secondes par simple négligence”. Ce commentaire révèle la nature non lucrative de l'attaque, le capital initial de l'attaquant étant complètement épuisé au cours de ce processus.

Les quatre étapes clés de l'attaque POPCAT

Préparation des fonds : Retirer 3 millions USDC de la CEX et les répartir sur 19 portefeuilles.

Établir une position longue : Ouvrir un long levier de 26 millions de dollars en POPCAT autour de 0,21 dollar.

Créer une liquidité fictive : Mettre en place un mur d'achat de 20 millions de dollars pour envoyer un signal de force au marché.

Déclenchement de la liquidation en chaîne : Retrait du mur d'achat entraînant la disparition de la liquidité, les positions longues sont liquidées de force.

Conception et exécution précises du piège d'achat

Ce mur d'achat d'une valeur de 20 millions de dollars a créé une illusion temporaire de la force de la demande. Le prix a réagi à ce signal, les participants interprétant le mur d'achat comme un soutien structurel et augmentant. Cependant, une fois le mur disparu, ce soutien disparaît également et la liquidité s'amincit. En l'absence d'enchères pour absorber la volatilité du marché, les positions à fort effet de levier commencent à être liquidées massivement. Le coffre-fort du Fournisseur de Hyperliquidité du protocole vise à absorber de tels événements et a été pleinement impacté.

Le mur d'achat est une technique de manipulation des prix courante dans le trading de crypto-monnaies. Les attaquants placent un grand nombre d'ordres d'achat à un certain niveau de prix, créant l'illusion d'un fort soutien à ce niveau. D'autres traders, voyant cet ordre d'achat important, peuvent décider de suivre et d'acheter, pensant que le prix ne tombera pas en dessous de ce niveau. Cependant, lorsque les attaquants retirent soudainement le mur d'achat, le prix perd son soutien et chute rapidement, laissant les traders qui ont suivi et acheté piégés ou même forcés de liquider leurs positions.

Dans cet incident de manipulation de POPCAT, la précision des attaquants résidait dans le fait de créer simultanément d'énormes positions longues et un mur d'achat. Le mur d'achat non seulement trompait les autres traders, mais plus important encore, il créait un soutien temporaire des prix pour leurs propres positions longues. Lorsque les attaquants ont retiré le mur d'achat, non seulement les positions longues des autres traders ont été liquidées, mais même la position longue de 30 millions de dollars des attaquants a été liquidée de manière forcée.

La clé de cette opération réside dans le mécanisme de liquidation. Dans le Trading Futures, lorsque les pertes d'une position atteignent un certain seuil, la plateforme d'échange procède automatiquement à une liquidation forcée pour protéger le système. Étant donné que Hyperliquid utilise un mécanisme de teneur de marché automatisé (AMM), lorsque de grandes positions longues sont liquidées de force, le pool de liquidité de la plateforme doit prendre en charge ces positions. La chute soudaine du prix de POPCAT a entraîné d'énormes pertes sur les positions prises en charge par HLP.

Attaque non lucrative révélant la vulnérabilité structurelle de DeFi

La différence entre cet événement et la manipulation typique des prix réside dans le fait que les initiateurs n'ont pas réalisé de profits. Les 3 millions de dollars de capital initial ont été complètement épuisés au cours de ce processus. Cela indique fortement que l'objectif n'est pas un intérêt économique, mais plutôt une destruction de l'architecture. En introduisant de faux signaux de liquidité, en les supprimant à un moment précis et en déclenchant le seuil de liquidation, les attaquants ont pu manipuler la logique interne du système de trésorerie.

Ce type d'« attaque kamikaze » est extrêmement rare dans l'histoire des cryptomonnaies. L'attaquant est prêt à perdre 3 millions de dollars pour causer une perte de 4,9 millions de dollars à Hyperliquid, ce qui signifie que ce n'est pas pour réaliser un profit, mais peut-être pour détruire un concurrent, tester des faiblesses du système, ou pour réaliser de l'« art conceptuel ». Les réactions de la communauté varient de l'analyse technique à la satire. Un observateur l'a décrit comme « la recherche la plus chère de l'histoire », tandis qu'un autre observateur estime que les 3 millions de dollars brûlés sont tous « de l'art conceptuel ».

Le coffre-fort vise à équilibrer le risque entre les positions et à fournir de la liquidité en période de volatilité, mais a été entraîné dans une chaîne de liquidation qu'il ne peut pas complètement contenir. Cela soulève des questions sur la manière dont le mécanisme de liquidité automatique gère les événements de volatilité intégrés, en particulier face à des participants malveillants mais informés structurellement. Dans cet exemple, aucune faiblesse n’a été trouvée dans la base de code. Au contraire, la vulnérabilité réside dans les hypothèses qui soutiennent la structure du marché et le contrôle des risques.

Hyperliquid a également connu un événement similaire en mars de cette année, lorsqu'un trader a vendu à découvert le jeton mème Solana JELLYJELLY, mais le prix du jeton a enflé de 429 % en une heure, entraînant une perte non réalisée de 12 millions de dollars pour la plateforme. Cet événement POPCAT marque une autre perte significative subie par Hyperliquid en raison d'un événement de coordination unique, soulignant que même sans exploitation de vulnérabilités de code externe, le système interne peut également être endommagé par des attaques de liquidité précises.

Mécanisme de verrouillage d'urgence et réponse de la plateforme

Peu de temps après que le coffre-fort a été affecté, le pont de retrait de Hyperliquid a été temporairement désactivé. Un développeur associé à ce protocole a déclaré que la plateforme avait suspendu ses opérations en utilisant une fonctionnalité appelée « verrouillage d'urgence par vote ». Ce mécanisme permet aux gestionnaires de contrats d'arrêter certaines opérations en cas d'événements de manipulation suspects ou de risques d'infrastructure. La fonction de retrait a été réactivée après environ une heure. Hyperliquid n'a publié aucune communication officielle liant directement le gel à des événements de trading avec POPCAT.

Cependant, ce moment indique qu'il est nécessaire de prendre des mesures préventives, visant à empêcher des sorties de fonds supplémentaires ou des manipulations pendant les périodes d'instabilité de la plateforme. Ce mécanisme d'urgence de verrouillage est assez controversé dans la finance décentralisée. D'une part, il fournit les garanties de sécurité nécessaires, permettant à l'équipe de protéger les fonds des utilisateurs en temps de crise. D'autre part, il affaiblit l'engagement envers la « décentralisation », car un administrateur centralisé conserve le pouvoir de geler des fonds.

Après l'attaque, Hyperliquid n'a pas encore annoncé de modifications à son mécanisme de trésorerie. Cependant, l'écosystème DeFi plus large pourrait prêter attention à cette stratégie et examiner comment la trésorerie absorbe ou reflète les risques sous la pression synthétique coordonnée. Cet incident de POPCAT est devenu une étude de cas illustrant comment exercer une pression interne sur un système décentralisé en utilisant uniquement des outils et du capital disponibles publiquement.