La bourse de contrats à terme perpétuels décentralisée Hyperliquid a subi des pertes massives allant jusqu'à 12 millions de dollars après qu'un trader a manipulé le prix du jeton Jelly-My-Jelly basé sur Solana, exposant des failles fondamentales dans les revendications de décentralisation et de confiance de la cryptomonnaie, selon des experts de l'industrie.
À savoir :
- La crise de 12 millions de dollars d'Hyperliquid a résulté de la manipulation du prix d'un jeton à faible liquidité
- Les experts disent que la plupart des plateformes crypto fonctionnent sur une "confiance implicite" plutôt qu'une véritable décentralisation
- La cryptomonnaie fait face à une pression réglementaire croissante à mesure que les gouvernements réagissent à l'adoption grand public
"Hyperliquid a montré la même faille : lorsque la pression arrivait, les échanges pouvaient être suspendus et les liquidations modifiées. Si vous devez faire confiance à une plateforme, elle n'est pas sans confiance, peu importe à quel point cela ressemble à la 'DeFi'", déclare Alexis Sirkia, président du Yellow Network, une couche de compensation décentralisée visant à supprimer les dépendances de confiance dans la DeFi.
La crise a commencé le 26 mars lorsqu'un trader a vendu à découvert Jelly-My-Jelly sur la bourse, marquant le deuxième événement de manipulation de baleine d'Hyperliquid en deux semaines. Peu de temps après, la bourse a retiré le contrat à terme perpétuel du jeton et a promis de rembourser les utilisateurs affectés. Selon Kaiko Research, la "manipulation des prix a mis en lumière des fissures dans le moteur de liquidation d'Hyperliquid."
Sirkia soutient que le problème fondamental n'est pas de savoir si les plateformes sont centralisées ou décentralisées, mais plutôt la dépendance à la confiance. "La plupart des bourses crypto centralisées et des protocoles DeFi fonctionnent sur des modèles reposant sur une 'confiance implicite', tels que les dépositaires, les livres d'ordres obscurs et les clés d'administration avec capacité de neutralisation," a-t-il déclaré à Cryptonews.
La fondation de la cryptomonnaie repose sur sa capacité à fonctionner sans autorités centrales comme les gouvernements, les banques centrales ou les intermédiaires tiers. Ce principe est particulièrement central pour la DeFi, ou finance décentralisée – au moins théoriquement.
L'anatomie d'une attaque
L'attaque contre Hyperliquid a suivi un schéma familier vu dans des incidents précédents comme Mango Markets : exploiter une faible liquidité à la fois sur les marchés spot et perpétuels pour manipuler le prix d'un jeton à faible liquidité.
Selon Kaiko Research, le trader a attaqué le coffre-fort du fournisseur de liquidité d'Hyperliquid en ouvrant de grandes positions sur le marché des contrats perpétuels de JellyJelly : une vente à découvert de 4 millions de dollars et deux positions longues totalisant 3 millions de dollars.
Au moment de l'attaque, la capitalisation boursière totale de la pièce mème était de seulement 15 millions de dollars, avec une liquidité quotidienne moyenne de seulement 72 000 dollars. Le trader a exécuté une stratégie coordonnée à deux volets. D'abord, ils ont ouvert une position courte sur Jelly-My-Jelly, puis ont retiré la marge qui la soutenait, déclenchant une liquidation forcée et transférant la vente à découvert vers le coffre-fort HLP d'Hyperliquid.
Le trader a ensuite acheté de manière agressive du JELLY sur les marchés spot, provoquant une flambée des prix de 500 % en une seule heure. Cette stratégie a entraîné des pertes d'environ 12 millions de dollars pour le coffre-fort HLP, selon les données de Lookonchain. Des spéculations ont émergé que si le prix de JellyJelly tombait trop bas, le coffre-fort du fournisseur de liquidité d'Hyperliquid pourrait être complètement épuisé.
"Alors que l'intérêt ouvert dépassait des seuils clés, de nouvelles positions ont été bloquées, empêchant les liquidateurs de clôturer efficacement la liquidation de la position courte de l'attaquant," a noté Kaiko dans un rapport du 31 mars. "Le délai a amplifié les pertes, aggravant encore la situation pour le coffre-fort HLP."
Kaiko a décrit l'attaque comme "calculée", citant des données on-chain montrant que l'utilisateur avait effectué des transactions test sur Hyperliquid dès 10 jours avant l'attaque, "probablement pour affiner leur stratégie."
Finalement, Hyperliquid a annoncé que ses validateurs avaient voté pour retirer les contrats à terme perpétuels de Jelly "après des preuves d'activité de marché suspecte." L'équipe a déclaré, "Tous les utilisateurs à l'exception des adresses signalées seront indemnisés par la Hyper Foundation. Des améliorations techniques seront apportées, et le réseau en sortira renforcé grâce aux leçons apprises."
La confiance reste le problème central
Alexis Sirkia, président du Yellow Network, affirme que l'industrie de la cryptomonnaie doit construire un cadre pair-à-pair natif qui "supprime la confiance de l'équation." Il suggère qu'une couche de communication décentralisée pour les market makers et les traders améliorerait l'efficacité et éliminerait la manipulation.
"Ce que nous voyons, c'est une industrie construite sur les principes de la décentralisation, mais avec des points de suffocation centralisés," a expliqué Sirkia. "Ces points de faille sont partout, et il suffit d'une pression du marché ou de joueurs malveillants pour les exposer."
D'autres figures de l'industrie ont offert des critiques plus sévères.
La PDG de Bitget, Gracy Chen, a décrit Hyperliquid comme potentiellement "le prochain FTX 2.0," en référence à la bourse dirigée par Sam Bankman-Fried qui s'est effondrée en 2022 avec environ 9,7 milliards de dollars de fonds de clients et d'investisseurs.
"La manière dont elle a géré l'incident JELLY était immature, immorale et non professionnelle, entraînant des pertes pour les utilisateurs et jetant de sérieux doutes sur son intégrité," a écrit Chen sur X. "Malgré sa présentation en tant que bourse décentralisée innovante avec une vision audacieuse, Hyperliquid fonctionne davantage comme une CEX offshore sans KYC/AML, permettant des flux illicites et des acteurs malveillants."
Eric Chen, PDG du protocole DeFi de couche un Injective, a offert une évaluation similaire : "Hyperliquid est une bourse perp forte sans KYC, mais elle n'est pas décentralisée selon la plupart des métriques." Il a ajouté que "La situation Jelly a révélé quelques parallèles avec FTX—où HLP joue un rôle similaire pour Hyperliquid que Alameda l'a fait pour FTX en ce qui concerne le soutien des liquidations."
Todd Ruoff, PDG du réseau d'infrastructure AI décentralisé Autonomys, a pointé du doigt "des intermédiaires centralisés opaques qui manquent de surveillance robuste" comme l'un des plus grands risques de contrepartie dans la crypto aujourd'hui.
"De nombreuses plateformes continuent de fonctionner sans pleine transparence sur leurs bilans, leurs tampons de liquidité ou leurs pratiques de gestion des risques," a déclaré Ruoff à Cryptonews.
Cela crée des vulnérabilités où la défaillance d'une entité unique—ou pire, une mauvaise gestion—peut déclencher un effet domino à travers l'écosystème, a expliqué Ruoff. "Pour régler ces problèmes, l'industrie doit pousser pour une plus grande transparence et des normes d'audit plus strictes."
Régulation : Le prix de l'adoption grand public
L'histoire courte mais mouvementée de la crypto a été caractérisée par une tension entre idéalité et praticité. Cependant, il semble y avoir eu une déviation significative des principes de décentralisation et de confidentialité qui définissaient à l'origine le mouvement de la cryptomonnaie.
En 2022, le mélangeur crypto basé sur Ethereum Tornado Cash a annoncé qu'il avait commencé à bloquer les adresses sanctionnées par l'Office of Foreign Assets Control des États-Unis, signalant la direction que prenait l'industrie en matière de réglementation. À mesure que la cryptomonnaie devient de plus en plus grand public, les gouvernements du monde entier intensifient leurs efforts réglementaires.
L'ancien président américain Joe Biden a émis un décret exécutif il y a trois ans justifiant l'intervention gouvernementale dans la cryptomonnaie au nom de la "sécurité nationale."
Les agences gouvernementales mondiales ciblent les investisseurs crypto non seulement avec des taxes mais aussi avec des exigences d'enregistrement obligatoire et de divulgation complète. Des régions mettant en œuvre des contrôles plus stricts incluent la Chine, l'Inde, l'Australie, le Japon, et l'UE.
Selon des experts de l'industrie, une régulation accrue semble être le coût inévitable de l'assimilation de la cryptomonnaie dans l'économie grand public. Cela soulève des questions sur la viabilité de l'idéal de décentralisation en tant qu'outil de résistance à la censure ou s'il est devenu largement mythique.
"Bien que la technologie centrale de Bitcoin reste décentralisée, l'industrie de la crypto dans son ensemble est devenue plus centralisée que ce qu'avait initialement envisagé Satoshi," a noté Ruoff. "Aujourd'hui, l'infrastructure clé—comme les échanges centralisés, les pools de minage, et même certains mécanismes de gouvernance—concentre le pouvoir de manière à s'écarter de l'idéal de Bitcoin d'un système entièrement sans permission."
Réflexions finales
La crise d'Hyperliquid sert de rappel frappant que malgré la promesse révolutionnaire de la cryptomonnaie, l'écosystème reste vulnérable à nombre des mêmes problèmes de confiance qui affligent les systèmes financiers traditionnels. Comme le souligne Alexis Sirkia, tant que l'industrie n'aura pas construit une infrastructure véritablement sans confiance, des incidents de ce type continueront de se produire, minant la confiance dans le secteur dans son ensemble.