В четверг один из пользователей децентрализованной торговой платформы Hyperliquid потерял около $21 миллиона после утечки приватного ключа, приведшей к эксплойту, затронувшему протокол кредитования Hyperdrive.
По данным компании по безопасности блокчейна PeckShield, злоумышленник атаковал 17,75 млн DAI и 3,11 млн SyrupUSDC, синтетической версии стейблкоина USDC, используемой в Hyperdrive, а затем перевел украденные средства на Ethereum.
PeckShield не подтвердил, каким образом был скомпрометирован приватный ключ.
Этот эксплойт произошел на фоне стремительного роста Hyperliquid, который привлек значительное внимание благодаря программе поощрения на основе баллов, разработанной для увеличения ликвидности и вовлеченности пользователей. Недавно программа завершилась крупным airdrop для более чем 94 000 адресов.
Только за последнюю неделю платформа обработала более $3,5 млрд в торговом объеме, согласно данным DefiLlama.
Тем не менее, инцидент подчеркивает знакомый вопрос, особенно в условиях возрождения активности на децентрализованных биржах (DEX): как пользователи могут оставаться в безопасности в экосистеме, основанной на самохранении и смарт-контрактах?
Как трейдерам обеспечить защиту
Хотя причина эксплойта в четверг все еще расследуется, аналитики по безопасности подчеркивают, что пользователи децентрализованных бирж могут предпринять несколько мер предосторожности, чтобы минимизировать риски.
DEX, такие как Hyperliquid, предоставляют трейдерам полный контроль над их криптоактивами, но этот контроль также означает, что они несут полную ответственность за их защиту. Эксперты рекомендуют поддерживать «горячий» кошелек для активной торговли и «холодный» кошелек для долгосрочного хранения, гарантируя, что большая часть средств остается в автономном режиме и недоступна для онлайн-угроз.
В кошельках, подключенных к DEX, следует хранить лишь небольшую часть активов трейдера, чтобы ограничить потенциальные потери в случае компрометации приватного ключа или злонамеренного смарт-контракта.
Для защиты от эксплойтов приватных ключей пользователи Hyperliquid никогда не должны делиться своими приватными ключами или seed-фразами, даже при настройке кошелька через API. Официальная документация Hyperliquid явно предупреждает: «Не делитесь своим приватным ключом с кем-либо».
Пользователям также следует быть осторожными с поддельными страницами «авторизации» или сообщениями поддержки на платформах, таких как Telegram или Discord, которые часто выдают себя за официальных сотрудников, чтобы украсть учетные данные.
В связи с эксплойтом Hyperliquid криптобиржа MEXC посоветовала пользователям «проверять позиции и разрешения в обозревателе блоков», отметив, что эксплойты часто происходят, когда трейдеры предоставляют DeFi-протоколам избыточные разрешения.
Эксперты по безопасности рекомендуют регулярно просматривать и отзывать ненужные разрешения с помощью таких инструментов, как функция Token Approvals от Etherscan или аналогичных onchain-платформ управления.
