La bourse perpétuelle décentralisée Hyperliquid a subi des pertes massives atteignant jusqu’à 12 millions de dollars après qu’un trader a manipulé le prix du token basé sur Solana, Jelly-My-Jelly, révélant des failles fondamentales dans les revendications de décentralisation et de sécurité sans confiance de la cryptomonnaie, selon des experts de l’industrie.
Ce qu'il faut savoir :
- La crise de 12 millions de dollars d'Hyperliquid provient de la manipulation du prix d'un token à faible liquidité.
- Les experts affirment que la plupart des plateformes crypto fonctionnent sur la "confiance implicite" plutôt que sur une véritable décentralisation.
- La cryptomonnaie fait face à une pression réglementaire croissante alors que les gouvernements réagissent à l'adoption grand public.
"Hyperliquid a montré la même faille : quand la pression monte, les transactions peuvent être arrêtées et les règlements modifiés. Si vous devez faire confiance à une plateforme, ce n'est pas sans confiance malgré son apparence 'DeFi'", déclare Alexis Sirkia, président de Yellow Network, une couche de compensation décentralisée qui vise à éliminer les dépendances de confiance dans la DeFi.
La crise a commencé le 26 mars lorsqu'un trader a vendu à découvert Jelly-My-Jelly sur la bourse, marquant le second événement de manipulation par une grosse baleine d’Hyperliquid en deux semaines. Peu de temps après, la bourse a retiré les futurs perpétuels du token et promis de rembourser les utilisateurs affectés. Selon Kaiko Research, la "manipulation des prix a révélé des failles dans le moteur de liquidation d'Hyperliquid."
Sirkia soutient que le problème fondamental n'est pas de savoir si les plateformes sont centralisées ou décentralisées, mais plutôt la dépendance à la confiance. "La plupart des échanges crypto centralisés et des protocoles DeFi fonctionnent sur des modèles s'appuyant sur la 'confiance implicite', tels que les dépositaires, les carnets d’ordres opaques et les clés administratives avec capacité de contournement", a-t-il déclaré à Cryptonews.
La base de la cryptomonnaie repose sur sa capacité à fonctionner sans autorités centrales comme les gouvernements, les banques centrales ou les intermédiaires tiers. Ce principe est particulièrement central pour la DeFi, ou finance décentralisée - du moins théoriquement.
L'anatomie d'une attaque
L'attaque sur Hyperliquid a suivi un schéma familier observé dans des incidents précédents comme Mango Markets : exploiter une faible liquidité à la fois sur les marchés au comptant et sur les marchés perpétuels pour manipuler le prix d’un token à faible liquidité.
Selon Kaiko Research, le trader a attaqué le coffre du fournisseur de liquidité d'Hyperliquid en prenant de grandes positions sur le marché des futurs perpétuels de JellyJelly : une position courte de 4 millions de dollars et deux positions longues totalisant 3 millions de dollars.
Au moment de l'attaque, le mème coin avait une capitalisation boursière totale de seulement 15 millions de dollars, avec une liquidité quotidienne moyenne de seulement 72 000 dollars. Le trader a exécuté une stratégie coordonnée en deux étapes. D'abord, ils ont ouvert une position courte sur Jelly-My-Jelly, puis ont retiré la marge la soutenant, déclenchant une liquidation forcée et transférant la position courte au coffre HLP d'Hyperliquid.
Le trader a ensuite procédé à des achats agressifs de JELLY sur les marchés au comptant, faisant grimper le prix de 500% en une seule heure. Cette stratégie a entraîné environ 12 millions de dollars de pertes pour le coffre HLP, selon les données de Lookonchain. Des spéculations ont émergé selon lesquelles si le prix de JellyJelly tombait trop bas, le coffre du fournisseur de liquidité d’Hyperliquid pourrait être complètement épuisé.
"Alors que l'intérêt ouvert dépassait des seuils clés, de nouvelles positions ont été bloquées, empêchant les liquidateurs de clôturer efficacement la liquidation de la position courte de l'attaquant", a noté Kaiko dans un rapport du 31 mars. "Le retard a amplifié les pertes, aggravant encore la situation pour le coffre HLP."
Kaiko a qualifié l'attaque de "calculée", citant des données on-chain montrant que l'utilisateur avait effectué des transactions de test sur Hyperliquid dès 10 jours avant l’attaque, "probablement pour affiner sa stratégie."
En fin de compte, Hyperliquid a annoncé que ses validateurs avaient voté pour retirer les contrats de futurs perpétuels de Jelly "après des preuves d'activités de marché suspectes." L'équipe a déclaré : "Tous les utilisateurs à l'exception des adresses signalées seront indemnisés par la Hyper Foundation. Des améliorations techniques seront apportées et le réseau deviendra plus fort grâce aux leçons apprises."
La confiance reste le problème central
Alexis Sirkia, président de Yellow Network, affirme que l'industrie de la cryptomonnaie doit construire un cadre de communication pair-à-pair natif qui "élimine la confiance de l'équation." Il suggère qu'une couche de communication décentralisée pour les teneurs de marché et les traders améliorerait l'efficacité et éliminerait la manipulation.
"Ce que nous voyons est une industrie construite sur les principes de la décentralisation, mais avec des points d'étranglement centralisés", a expliqué Sirkia. "Ces points de défaillance sont partout, et il suffit d'une pression du marché ou de joueurs malveillants pour les exposer."
D'autres figures de l'industrie ont offert des critiques plus sévères.
Le PDG de Bitget, Gracy Chen, a décrit Hyperliquid comme potentiellement "le prochain FTX 2.0", en référence à la bourse dirigée par Sam Bankman-Fried qui s'est effondrée en 2022 avec environ 9,7 milliards de dollars de fonds de clients et d'investisseurs.
"La façon dont il a géré l'incident JELLY était immature, contraire à l'éthique et non professionnelle, déclenchant des pertes pour les utilisateurs et jetant de sérieux doutes sur son intégrité", a écrit Chen sur X. "Malgré sa présentation comme une bourse décentralisée innovante avec une vision audacieuse, Hyperliquid fonctionne davantage comme une société offshore avec l'absence de KYC/AML, permettant des flux illicites et des acteurs malveillants."
Le PDG du protocole DeFi de couche 1 Injective, Eric Chen, a offert une évaluation similaire : "Hyperliquid est une bourse perpétuelle forte sans KYC, mais elle n'est pas décentralisée selon la plupart des mesures." Il a ajouté que "La situation Jelly a révélé quelques parallèles à FTX - où HLP joue un rôle similaire pour Hyperliquid à celui qu'Alameda a joué pour FTX en matière de fourniture de liquidations."
Todd Ruoff, PDG du réseau d'infrastructure IA décentralisé Autonomys, a pointé du doigt les "intermédiaires opaques et centralisés qui manquent de surveillance robuste" comme l'un des plus grands risques de contrepartie dans la crypto aujourd'hui.
"Beaucoup de plateformes fonctionnent encore sans transparence totale concernant leurs bilans, tampons de liquidité ou pratiques de gestion des risques", a déclaré Ruoff à Cryptonews.
Cela crée des vulnérabilités où la défaillance d'un seul entité—ou pire, une mauvaise gestion—peut déclencher un effet domino à travers l'écosystème, a expliqué Ruoff. "Pour aborder ces problèmes, l'industrie doit pousser pour une plus grande transparence et des normes d'audit plus strictes."
Règlementations : le prix de l'adoption massive
L'histoire courte mais mouvementée de la crypto a été caractérisée par une tension entre idéalisme et pragmatisme. Cependant, il semble y avoir eu un écart significatif par rapport aux principes de décentralisation et de confidentialité qui ont initialement défini le mouvement de la cryptomonnaie.
En 2022, le mixeur crypto basé sur Ethereum Tornado Cash a annoncé qu'il avait commencé à bloquer les adresses sanctionnées par le Bureau de contrôle des actifs étrangers des États-Unis, signalant la direction que prenait l'industrie en matière de réglementation. Alors que la cryptomonnaie devient de plus en plus courante, les gouvernements du monde entier intensifient leurs efforts réglementaires.
L'ancien président américain Joe Biden a émis un décret exécutif il y a trois ans justifiant l'intervention gouvernementale dans la cryptomonnaie dans l’intérêt de la "sécurité nationale."
Les agences gouvernementales au niveau mondial ciblent les investisseurs en crypto non seulement avec des impôts, mais aussi avec des exigences d'enregistrement obligatoire et de divulgation complète. Les régions appliquant des contrôles plus stricts incluent la Chine, l'Inde, l'Australie, le Japon et l'UE.
Selon les experts de l'industrie, l'augmentation de la réglementation semble être le coût inévitable de l'intégration de la cryptomonnaie dans l'économie grand public. Cela soulève des questions sur la viabilité de l'idéal de décentralisation en tant qu'outil de résistance à la censure ou si cet idéal est devenu largement mythique.
"Bien que la technologie centrale de Bitcoin reste décentralisée, l’industrie de la cryptomonnaie dans son ensemble est devenue plus centralisée que ce que Satoshi avait initialement imaginé", a noté Ruoff. "Aujourd'hui, des infrastructures clés—comme les bourses centralisées, les pools de minage, et même certains mécanismes de gouvernance—concentrent le pouvoir d'une manière qui s'écarte de l'idéal de Bitcoin d'un système entièrement sans permission."
Réflexions finales
La crise d'Hyperliquid sert de rappel brutal que malgré la promesse révolutionnaire de la cryptomonnaie, l'écosystème reste vulnérable à beaucoup des mêmes problèmes de confiance qui affligent les systèmes financiers traditionnels. Comme le souligne Alexis Sirkia, tant que l'industrie ne construira pas une infrastructure véritablement sans confiance, des incidents comme celui-ci continueront de se produire, sapant la confiance dans l'ensemble du secteur.