Hyperliquid 歷次安全事件完整時間線
自 Hyperliquid docs 推出以來,這個鏈上永續合約平台一直因為高效能、低延遲撮合,以及「去中心化衍生品交易」敘事而受到市場關注。不過,任何增長快速的加密貨幣基建,都不可能只看交易量和用戶數;安全事件、風險處置方式、治理透明度,以及用戶端防護,都是評估平台是否適合長期使用的重要因素。
本文會整理截至目前為止,Hyperliquid 生態中有公開資料可查的重要安全與風險事件,並分析每次事件對交易者、流動性提供者及一般用戶的啟示。對於正在使用鏈上永續合約,或者考慮透過 OneKey Perps 參與 Hyperliquid 交易流程的用戶,理解這條安全時間線,可以幫助你更理性地管理倉位、授權和資產分層。
需要先說明:本文只根據公開資料整理,不引用未能核實的具體數字,不對任何平台作安全保證。如需了解最新狀態,應以 Hyperliquid 官方文件及官方公告為準。
為甚麼要梳理安全時間線?
對永續合約交易者來說,平台的安全歷史並不是八卦,而是評估交易對手風險、系統性風險和操作風險的重要資料。
傳統中心化交易所(CEX)出事時,很多資料未必能即時被外界驗證;但鏈上協議不同,交易、清算、授權、金庫變動等活動,通常都會留下可查的鏈上紀錄。這代表歷史事件不單可以被回顧,也可以被研究者量化、重播和拆解。
GMX、dYdX 等主流永續 DEX,在發展過程中都曾面對不同類型的安全挑戰,包括價格操縱、預言機風險、流動性壓力和治理爭議。Hyperliquid 亦不例外。它的風險並不只來自智能合約漏洞,也包括市場結構、驗證者決策、釣魚網站、假冒社群渠道,以及 HyperEVM 生態擴張後帶來的惡意合約授權問題。
換句話說,用戶不應只問「平台有沒有被黑過」,而應該問:
- 過去出現過哪些類型的風險?
- 團隊和驗證者如何處理?
- 事件有沒有造成資產損失或治理爭議?
- 用戶自己可以採取哪些防護措施?
- 主要資產是否需要與日常交易熱錢包分開?
以下時間線,正是為了回答這些問題。
事件時間線概覽
2024 年:疑似朝鮮黑客關聯地址的異常活動
2024 年下半年,鏈上分析機構發現,部分疑似與朝鮮相關聯的錢包地址曾在 Hyperliquid 上進行大量交易活動。這類消息很快在加密安全社群引起討論,因為朝鮮相關黑客組織過往曾被指涉及多宗大型加密貨幣盜竊及洗錢事件。
值得留意的是,這宗事件並不等於 Hyperliquid 已被攻破。公開討論的重點在於:這些地址的交易行為,是否可能是針對平台機制、流動性、清算邏輯或潛在漏洞的偵察,而不是單純的投機交易。
Hyperliquid 團隊其後公開回應,表示平台安全機制未發現被攻破跡象,並強調已加強對異常地址及可疑行為的監控。事件本身未有造成直接資產損失,但它提醒了整個市場:鏈上衍生品平台並不只是普通交易者和做市商的遊樂場,同樣會進入國家級網絡威脅行為者的視野。
對一般用戶來說,這宗事件的啟示是:即使平台智能合約沒有被利用,宏觀層面的攻擊者觀察、試探和壓力測試,仍然可能影響平台風險環境。用戶應避免把所有資產長期放在單一交易環境之中,尤其是用於高槓桿永續合約交易的資金,更應該與長期持倉分開管理。
如想理解鏈上威脅追蹤的背景,可參考 Chainalysis 關於加密資產追蹤的研究。
2025 年 3 月:JELLYJELLY 價格操縱事件
JELLYJELLY(JELLY)事件,是截至目前為止 Hyperliquid 生態中最受關注的單一風險事件之一。
事件大致涉及一名或多名市場參與者,利用 JELLY 現貨市場流動性極低的特點,在永續合約市場建立較大規模倉位,同時拉抬現貨價格,令永續合約市場的清算機制承受壓力。根據公開資料,相關不利倉位其後被轉入 HLP 金庫,令整個事件不再只是單一交易者的盈虧問題,而是牽涉金庫、風控參數及市場完整性的系統性事件。
Hyperliquid 驗證者委員會之後投票下架 JELLY 永續合約,並以特定價格強制結算所有相關倉位。事件結束後,HLP 金庫根據官方公告錄得小幅盈餘;但比起盈虧結果,社群更關注的是處置過程本身。
爭議主要集中在幾個層面:
- 驗證者委員會是否擁有過高的緊急干預權力?
- 強制結算是否削弱了平台「去中心化」敘事?
- 長尾資產上市標準是否足夠審慎?
- HLP 金庫承擔極端市場事件風險時,用戶是否充分理解相關風險?
這宗事件並非典型的「黑客入侵」,而是更接近市場操縱、流動性錯配和風控機制壓力測試的混合案例。對永續合約交易者來說,它的警示非常直接:低流動性標的配合高槓桿,可以在極短時間內放大價格偏差和清算風險。
如果你使用 OneKey Perps 參與類似鏈上永續合約交易,實務上應特別留意:
- 避免在流動性不足的長尾市場使用高槓桿;
- 不要只看資金費率或短線波動,亦要檢查現貨深度;
- 將交易保證金控制在可承受損失範圍;
- 長期資產應存放於硬件錢包,而非全部放在交易熱錢包。
詳細事件經過及後續處置,應以 Hyperliquid Docs 相關公告為準。
2025 年:釣魚網站與假冒域名持續增加
隨着 Hyperliquid 用戶量上升,針對其用戶的釣魚攻擊亦在 2025 年明顯增加。這類攻擊並不一定針對 Hyperliquid 協議本身,而是針對用戶的注意力、習慣和私鑰管理方式。
常見手法包括:
- 註冊與官方網站極為相似的假冒域名;
- 在搜尋引擎或社交平台投放偽裝連結;
- 偽造 Discord 或 Telegram 機械人;
- 發佈假空投、假積分查詢、假申領頁面;
- 誘導用戶輸入助記詞、私鑰,或簽署惡意授權。
OWASP 對網絡釣魚攻擊的定義和防範建議,在這個背景下很有參考價值。對一般用戶而言,最重要的一點是:任何要求你輸入助記詞或私鑰的「Hyperliquid」頁面,都應直接視為詐騙。
Hyperliquid 的官方應用入口是 https://app.hyperliquid.xyz/。在進行任何簽名、存款、提款或授權之前,都應手動核對 URL 拼寫、HTTPS 憑證,以及是否從可信渠道進入。
在香港用戶常見的操作場景中,另一個風險是透過群組、KOL 或私訊連結進入平台。即使對方截圖看起來真實,也不代表連結安全。最穩陣的做法,是自行收藏官方入口,避免每次依賴搜尋結果或陌生連結。
2025–2026 年:Drainer 惡意合約針對 HyperEVM 用戶
隨着 HyperEVM 推出,Hyperliquid 生態由單純衍生品交易,逐漸擴展至更廣泛的智能合約應用。這對開發者和用戶都是機會,但亦帶來另一類風險:ERC-20 授權 Drainer 攻擊。
Drainer 的典型流程是:攻擊者透過假網站、假 NFT、假空投或假 DeFi 應用,誘導用戶簽署看似普通的授權交易。當中最危險的是「無限額 approve」或過高額度授權。一旦用戶簽署,攻擊者便可在稍後時間批量轉走相關代幣,而用戶未必即時察覺。
這種攻擊之所以危險,是因為它不需要取得你的私鑰。你可能仍然控制錢包,但已經把某些代幣的支配權授予惡意合約。對 HyperEVM 用戶來說,隨着新項目、新代幣和新互動增加,授權管理會變得愈來愈重要。
Chainalysis 對 Drainer 工具包的分析指出,Drainer 已成為鏈上威脅中增長最快的類別之一。用戶應定期使用 Revoke.cash 檢查並撤銷不必要的合約授權,尤其是長期未用、來源不明或授權額度異常高的合約。
建議做法包括:
- 每月至少檢查一次錢包授權;
- 對新項目互動前,先用小額錢包測試;
- 避免在主資產錢包上嘗試未經驗證的 DApp;
- 能設定限額時,不要授予無限額 approve;
- 對任何「限時申領」「立即連接錢包」提示保持警覺。
各類事件的風險對比
以上事件可大致分為四類:
可以見到,並非所有風險都來自平台本身。有些風險屬於市場結構,有些屬於社交工程,有些則是智能合約授權管理問題。對用戶而言,最有效的做法不是幻想「找到零風險平台」,而是建立一套可重複執行的安全流程。
OneKey 硬件錢包:抵禦多類威脅的第一道防線
回顧 Hyperliquid 相關安全事件,有一條共通防護邏輯:不要把主要資產長期放在熱錢包或高頻交易環境之中。
OneKey 硬件錢包透過離線私鑰儲存,令私鑰不會直接暴露於瀏覽器、電腦或手機環境。即使你日常需要使用鏈上應用、簽署交易或管理加密貨幣資產,硬件錢包仍可要求每筆敏感操作經過實體裝置確認,減少因惡意網站、木馬或瀏覽器攻擊而造成的風險。
配合 OneKey Perps 使用時,一個較實際的工作流程可以是:
- 使用 OneKey 硬件錢包管理主資產,避免把長期持倉放在熱錢包;
- 只將短期交易所需保證金轉入 Hyperliquid 或相關交易環境;
- 透過 OneKey Perps 進行永續合約操作時,保持倉位規模與風險承受能力一致;
- 每次授權及交易簽名,都在硬件錢包裝置上核對重點資訊;
- 定期於 Revoke.cash 檢查授權,撤銷不認識或不再使用的合約;
- 將高槓桿交易、日常鏈上互動和長期儲蓄分開錢包管理。
這樣做不會消除所有市場風險,也不會保證交易盈利,但可以降低私鑰被盜、惡意授權、熱錢包感染和操作失誤所造成的損失機會。
如果你希望以較清晰的方式管理鏈上永續合約交易,可以前往 onekey.so/download 下載 OneKey,並按需要使用 OneKey Perps 建立自己的交易與資產隔離流程。
常見問題
Q1:Hyperliquid 有公開安全審計報告嗎?
答:請直接查閱 Hyperliquid 官方文件,以取得最新審計狀態和技術資料。本文不引用未能核實的審計結論,也不把任何審計視為絕對安全保證。
Q2:JELLY 事件之後,Hyperliquid 是否改變了上市標準?
答:Hyperliquid 團隊在事件後表示會檢視相關參數,但具體政策更新應以官方公告為準。對用戶而言,在交易長尾永續合約前,仍應自行評估流動性、波動性和清算風險。
Q3:如何判斷某個「Hyperliquid」網站是否真實?
答:Hyperliquid 的官方應用入口是 https://app.hyperliquid.xyz/。進入任何涉及簽名、授權、存款或私鑰的頁面前,務必核對 URL 拼寫和 HTTPS 憑證。任何要求輸入助記詞或私鑰的頁面,都應視為詐騙。
Q4:普通用戶應該多久檢查一次鏈上授權?
答:建議至少每月一次使用 Revoke.cash 檢查當前錢包的鏈上授權紀錄,並撤銷不認識、長期未使用或授權額度過高的合約。如果你經常測試新 DApp,檢查頻率應更高。
Q5:在 Hyperliquid 存入 HLP,與直接做永續合約有甚麼不同風險?
答:HLP 存款面對的是金庫整體表現和系統性風險;直接做永續合約則主要面對倉位方向、槓桿、清算和市場流動性風險。兩者都有虧損可能,不能混為一談,亦不應使用無法承受損失的資金參與。
Q6:使用 OneKey Perps 是否可以避免 Hyperliquid 上的所有風險?
答:不可以。OneKey Perps 和 OneKey 硬件錢包可以幫助你改善私鑰管理、簽名確認和資產分層流程,但市場波動、槓桿清算、平台機制、流動性和監管風險仍然存在。安全工具應被視為風險管理的一部分,而不是盈利或安全保證。
結論
Hyperliquid 的安全歷史反映了鏈上衍生品平台在快速發展時面對的多層次風險:由疑似高級威脅行為者觀察,到 JELLYJELLY 事件所揭示的市場操縱和流動性問題,再到釣魚網站、假冒域名,以及 HyperEVM 生態下 Drainer 惡意授權攻擊。
沒有任何平台可以承諾零風險。對用戶來說,更實際的做法是建立自己的安全架構:主要資產自我託管、交易資金獨立管理、避免過度槓桿、定期檢查授權,並在每次簽名前確認自己正在與正確網站和正確合約互動。
OneKey 硬件錢包和 OneKey Perps 可以作為這套流程中的實用工具:前者幫助你把私鑰留在自己掌控之下,後者讓你以更清晰的方式接入鏈上永續合約交易。你可以前往 onekey.so 了解產品詳情,或到 onekey.so/download 下載 OneKey,開始建立更有紀律的鏈上交易安全流程。
風險提示:本文只供資訊參考,不構成任何投資、法律或財務建議。加密貨幣及永續合約交易涉及高風險,包括但不限於本金損失、平台風險、智能合約風險、流動性風險、槓桿清算風險及監管風險。過往安全事件整理不代表對未來風險的預測或背書。請按自身風險承受能力作獨立判斷。
