" В четверг один из пользователей децентрализованной торговой платформы Hyperliquid потерял около $21 млн после того, как утечка закрытого ключа привела к использованию уязвимости, затрагивающей кредитный протокол Hyperdrive.
По данным компании PeckShield, специализирующейся на безопасности блокчейна, злоумышленник похитил 17,75 млн DAI и 3,11 млн SyrupUSDC, синтетической версии стейблкоина USDC, используемого в Hyperdrive, а затем перевел украденные средства в Ethereum (ETH).
PeckShield не подтвердила, как был скомпрометирован закрытый ключ.
Источник: PeckShieldAlert
Эксплоит произошел на фоне быстрого роста Hyperliquid (HYPE), которая привлекла большое внимание благодаря своей программе вознаграждений на основе баллов, призванной повысить ликвидность и активность пользователей. Недавно программа завершилась масштабной раздачей криптовалюты более чем 94 000 адресам.
По данным DefiLlama, только за последнюю неделю платформа обработала более $3,5 млрд.
Тем не менее, поскольку децентрализованные биржи продолжают демонстрировать возобновившуюся активность, инцидент подчеркивает известный вопрос: как пользователи могут обеспечить безопасность в экосистеме, основанной на самостоятельном хранении и смарт-контрактах?
Как трейдеры могут оставаться в безопасности?
Хотя причина четвергового эксплоита все еще расследуется, аналитики по безопасности подчеркивают, что пользователи децентрализованных бирж могут принять ряд мер предосторожности для минимизации риска.
Такие DEX, как Hyperliquid, предоставляют трейдерам полное управление своими криптоактивами, но этот контроль также означает, что они несут полную ответственность за их безопасность. Эксперты рекомендуют использовать «горячий» кошелек для активной торговли и «холодный» кошелек для долгосрочного хранения, гарантируя, что большая часть средств останется офлайн и вне досягаемости онлайн-угроз.
Лишь небольшая часть активов трейдера должна оставаться в кошельках, подключенных к децентрализованным биржам, чтобы ограничить потенциальные потери в случае компрометации закрытого ключа или вредоносного смарт-контракта.
В целях защиты от эксплоитов с использованием закрытых ключей пользователи Hyperliquid никогда не должны передавать свои закрытые ключи или сид-фразы, даже при настройке API-кошелька. Официальная документация Hyperliquid прямо предупреждает: «Не передавайте свой закрытый ключ никому».
Пользователям также следует остерегаться поддельных страниц «авторизации» или сообщений службы поддержки на таких платформах, как Telegram или Discord, которые часто выдают себя за официальных сотрудников для кражи учетных данных.
По состоянию на третий квартал 2025 года криптовалютные биржи и протоколы DeFi были двумя основными векторами атак для взломов и эксплоитов. Источник: CertiK
После эксплоита Hyperliquid криптовалютная биржа MEXC рекомендовала пользователям «проверять позиции и подтверждения в обозревателе блоков», отметив, что эксплоиты часто происходят, когда трейдеры предоставляют чрезмерные разрешения протоколам DeFi.
Эксперты по безопасности рекомендуют регулярно проверять и отзывать ненужные разрешения, используя такие инструменты, как функция подтверждения токенов в блокчейн-обозревателе Etherscan или аналогичных сервисах.
