Hyperliquid 歷次安全事件完整時間線

• hyperliquid security timeline

• hyperliquid incident history

• hyperliquid security events

• hyperliquid risk history

自 Hyperliquid 推出以來，這個鏈上永續合約平台憑住高效能撮合、去中心化敘事，以及原生鏈上交易體驗，吸引了不少加密貨幣交易者關注。不過，任何發展迅速的鏈上衍生品平台，都不可能只看交易量、速度同產品體驗；安全事件、風險處理方式、社群治理爭議，同樣是評估平台是否適合長期使用的重要部分。

本文會按公開資料，整理目前有據可查、與 Hyperliquid 生態相關的重要安全及風險事件，並分析每次事件對用戶、平台同整個鏈上永續合約市場的啟示。對交易者而言，這不只是「八卦時間線」，而是理解平台對手方風險、流動性風險、治理風險，以及個人錢包安全風險的基礎資料。

需要先說明：本文只根據公開可查資料撰寫，不引用無法核實的具體數字，亦不對任何未經證實的傳聞作判斷。如需了解最新狀態，應以 Hyperliquid 官方文件及官方公告為準。

為甚麼要整理安全時間線？

對永續合約交易者來說，平台的安全歷史是評估風險時不能忽略的一環。很多人交易時只會看槓桿倍數、手續費、深度同資金費率，但真正影響倉位安全的，往往是更底層的問題：清算機制是否穩定、異常行情如何處理、驗證者或治理機制有幾大介入空間、用戶資產是否容易被釣魚網站或惡意授權盜走。

與中心化交易所不同，鏈上協議的事件通常會留下可查的鏈上紀錄。這令安全研究者、交易者同社群能夠更仔細地復盤每一次異常情況，亦令歷史教訓更容易被量化、比較同重現。

GMX、dYdX 等主流永續 DEX 在成長過程中都曾面對不同程度的安全挑戰。Hyperliquid 亦不例外。以下時間線並非為了放大恐慌，而是希望用更清晰的方式，幫助用戶明白：鏈上永續合約交易本身涉及多層風險，平台設計、個人錢包管理同操作習慣都同樣重要。

事件時間線概覽

2024 年：疑似朝鮮黑客關聯地址的異常活動

2024 年下半年，鏈上分析機構發現，疑似與朝鮮相關聯的錢包地址曾在 Hyperliquid 上進行大量交易活動。這個消息在加密安全社群引起廣泛討論，部分研究人員認為，這些交易可能並非單純投機，而是針對平台設計、流動性、風控參數或潛在漏洞的偵察行為。

需要強調的是，公開討論中的「關聯地址」並不等同於已確認攻擊成功。根據當時可見的公開回應，Hyperliquid 團隊表示平台安全機制未發現被攻破跡象，並強調已加強對異常地址及可疑行為的監控。

這次事件沒有造成已知的直接資產損失，但它揭示了一個非常重要的現實：鏈上衍生品平台，特別是擁有高流動性、高槓桿及自動化清算機制的平台，已經進入國家級網絡威脅行為者的觀察範圍。對攻擊者而言，永續合約平台不只可能成為盜取資產的目標，也可能成為測試市場操縱、壓力測試風控機制，甚至尋找治理弱點的場域。

對普通用戶來說，這類事件的啟示是：不要單純因為平台「未被黑」就假設風險不存在。安全威脅有時並非即時爆發，而是經過長時間觀察、測試、模擬後才出現。建議關注 Chainalysis 關於加密資產追蹤及鏈上威脅分析的研究，以理解相關背景。

2025 年 3 月：JELLYJELLY 價格操縱事件

JELLYJELLY（JELLY）事件，是目前 Hyperliquid 生態中最受關注的單一風險事件之一。事件核心在於，某參與者利用 JELLY 現貨市場流動性極低的特點，在永續合約市場建立較大規模倉位，同時推高現貨價格，令永續合約市場價格、清算機制及 HLP 金庫承受壓力。

簡單來說，當現貨流動性不足時，少量資金也可能對價格造成明顯影響。如果永續合約市場同時存在高槓桿倉位，價格被推動後，清算機制可能需要處理大量不利倉位。在這次事件中，部分不利倉位被轉入 HLP 金庫，令平台風控及金庫承擔方式成為社群焦點。

其後，Hyperliquid 驗證者委員會投票下架 JELLY 永續合約，並以特定價格強制結算所有倉位。根據官方公告，事件結束後 HLP 金庫錄得小幅盈餘；不過，真正引起爭議的並不只是盈虧結果，而是處置過程本身。

社群關注的問題包括：

• 驗證者委員會在極端市場事件中有多大權限？
• 強制結算是否會影響平台「去中心化」敘事？
• 低流動性資產是否適合過早推出永續合約？
• 平台參數、上市標準及清算機制是否需要進一步調整？

這次事件提醒所有永續合約交易者：交易風險不只來自自己看錯方向。當標的資產流動性不足、槓桿過高、清算機制承壓時，即使你沒有直接參與操縱，也可能受市場結構影響。詳細事件經過及後續處置，應以 Hyperliquid Docs 相關公告為準。

2025 年：釣魚網站與假冒域名持續增加

隨着 Hyperliquid 用戶量上升，針對其用戶的釣魚攻擊在 2025 年明顯增加。這類攻擊並不一定針對 Hyperliquid 協議本身，而是直接針對用戶操作習慣同錢包安全意識。

常見手法包括：

• 註冊與官方網址極為相似的假冒域名
• 偽造 Discord 或 Telegram 客服機械人
• 發佈假空投、假獎勵、假任務頁面
• 引導用戶輸入助記詞或私鑰
• 誘導用戶簽署看似普通、實際高風險的授權或交易

這類攻擊之所以有效，是因為很多用戶在交易時處於高壓狀態：要追倉、補保證金、平倉、搶空投，往往未必有耐性逐字檢查 URL 或簽名內容。攻擊者正是利用這種心理，設計出幾可亂真的頁面。

OWASP 對網絡釣魚攻擊的定義及防範建議，在這個情境下有直接參考價值。對 Hyperliquid 用戶而言，最基本原則是：Hyperliquid 的唯一官方應用入口是 https://app.hyperliquid.xyz/。任何要求你輸入私鑰、助記詞，或以「驗證帳戶」、「領取補償」、「重設錢包」為名要求敏感資料的「Hyperliquid」頁面，均應視為詐騙。

如果你要使用 OneKey Perps 或其他錢包入口連接 Hyperliquid，也應從官方渠道下載應用，避免從搜尋廣告、社交媒體短連結或陌生人私訊進入交易頁面。

2025–2026 年：Drainer 惡意合約針對 HyperEVM 用戶

隨着 HyperEVM 推出，智能合約生態開始在 Hyperliquid 上擴展。這代表更多應用、更豐富的鏈上互動，也同時帶來更常見的 EVM 風險，特別是 ERC-20 授權 Drainer 攻擊。

Drainer 類攻擊的核心並不一定是即時盜取私鑰，而是誘導用戶簽署惡意授權。例如，用戶可能以為自己只是連接錢包、領取空投、Mint NFT 或參與某個活動，但實際上卻簽署了無限額度的 approve。攻擊者之後便可在合適時機批量轉走相關代幣。

這類攻擊在 EVM 生態已經非常普遍。Chainalysis 對 Drainer 工具包的分析亦指出，Drainer 已成為鏈上威脅中增長最快的類別之一。對 HyperEVM 用戶來說，這意味着單靠「不外洩私鑰」並不足夠；你亦需要管理已授權的合約。

基本自保做法包括：

• 避免對陌生合約簽署無限額 approve
• 使用小額測試錢包參與新項目
• 定期到 Revoke.cash 檢查並撤銷不需要的授權
• 將長期持有資產與高頻互動錢包分開
• 使用硬件錢包確認每一次敏感簽名

各類事件對比分析

從以上事件可以見到，Hyperliquid 面對的風險並非單一類型，而是涵蓋多個層面：

• 外部威脅行為者風險：疑似高級別攻擊者可能持續觀察平台機制，尋找可利用位置。
• 市場結構風險：低流動性資產配合高槓桿永續合約，可能放大價格操縱及清算壓力。
• 治理與處置風險：極端事件中，平台或驗證者如何介入，會影響用戶對去中心化程度的判斷。
• 前端及社交工程風險：假網站、假客服、假空投往往比複雜漏洞更容易造成損失。
• 智能合約授權風險：HyperEVM 擴展後，用戶需要面對更典型的 EVM Drainer 及惡意 approve 問題。

換句話說，交易者不能只問「Hyperliquid 安不安全？」更實際的問題應該是：「我使用 Hyperliquid 或 OneKey Perps 交易永續合約時，有沒有把不同風險分層管理？」

OneKey 硬件錢包：抵禦多類威脅的第一道防線

回顧上述事件，有一個共通防護邏輯：將主要資產與熱錢包、高頻互動環境分離。OneKey 硬件錢包透過離線保存私鑰，令私鑰不會直接暴露在瀏覽器、手機惡意程式或釣魚網站環境之中，從源頭降低熱錢包被盜及惡意簽名帶來的風險。

配合 OneKey Perps 使用時，用戶可以建立較清晰的交易流程：

• 以硬件錢包進行關鍵簽名，每次授權都需要實體確認
• 將主要資產保留在冷存儲，只把短期所需保證金轉入交易環境
• 使用 OneKey Perps 進行永續合約交易時，先確認交易方向、槓桿、保證金及風險敞口
• 對新項目、新合約或不熟悉的 HyperEVM 互動使用獨立小額錢包
• 定期在 Revoke.cash 檢查鏈上授權，撤銷不認識或已不再使用的 approve

OneKey Perps 的價值不在於消除市場風險——永續合約交易本身仍然可能導致虧損，槓桿亦會放大盈虧——而是在於提供一個更有秩序的操作入口，配合硬件錢包確認流程，幫助用戶減少因釣魚、誤簽、熱錢包暴露而造成的非交易性損失。

如你正在使用鏈上永續合約，或打算開始以更嚴謹方式管理加密貨幣交易風險，可以前往 onekey.so/download 下載 OneKey，並按官方指引了解如何設定 OneKey 裝置及使用 OneKey Perps。這不是保證收益的方法，而是一套更重視私鑰控制、授權管理與交易紀律的工作流程。

常見問題

Q1：Hyperliquid 有公開安全審計報告嗎？

答：請直接查閱 Hyperliquid 官方文件，以取得最新審計狀態及安全資料。本文不引用無法核實的審計結論，亦不以第三方傳聞作判斷。

Q2：JELLY 事件之後，Hyperliquid 是否改變了上市標準？

答：Hyperliquid 團隊在事件後曾表示會審視相關參數，但具體政策更新應以官方公告為準。用戶如交易低流動性代幣永續合約，應特別留意標的流動性、倉位大小、槓桿水平及平台風控安排。

Q3：如何判斷某個「Hyperliquid」網站是否真實？

答：Hyperliquid 的唯一官方應用入口是 https://app.hyperliquid.xyz/。進入任何涉及錢包連接、簽名、保證金或私鑰資料的頁面前，必須核對 URL 拼寫、HTTPS 證書，以及是否由官方渠道進入。任何要求輸入助記詞或私鑰的頁面，都應視為詐騙。

Q4：普通用戶應該多久檢查一次鏈上授權？

答：建議至少每月一次到 Revoke.cash 檢查當前錢包的鏈上授權紀錄。如果你經常參與新項目、空投、NFT Mint 或 HyperEVM 互動，檢查頻率應更高。不認識、長期不用或權限過大的授權，應及時撤銷。

Q5：在 Hyperliquid 存入 HLP 與直接交易永續合約，風險有何不同？

答：HLP 存款面對的是金庫整體系統性風險，包括極端市場事件、清算機制及平台處置風險；直接交易永續合約則主要面對倉位本身的方向性風險、槓桿風險、資金費率及清算風險。兩者都可能造成虧損，應分開評估，不應視為低風險替代品。

Q6：使用 OneKey Perps 是否可以避免所有交易風險？

答：不可以。OneKey Perps 配合 OneKey 硬件錢包，可以幫助用戶改善私鑰保管、簽名確認及授權管理流程，但不能保證交易盈利，亦不能消除市場波動、槓桿清算、平台風控或流動性風險。交易前應清楚了解產品機制及自身風險承受能力。

結論

Hyperliquid 的安全歷史反映了鏈上衍生品平台在快速發展時必然面對的多層風險：由疑似高級威脅行為者的觀察，到低流動性市場操縱；由驗證者介入引起的去中心化討論，到釣魚網站、假域名及 Drainer 惡意合約攻擊。這些事件未必全部屬於「平台被黑」，但全部都與用戶資產安全有關。

沒有任何加密貨幣平台可以保證零風險，永續合約亦不適合所有人。真正可行的做法，是建立有結構的風險管理：主要資產自己保管、交易資金分層、控制槓桿、核對官方入口、定期撤銷授權，並使用硬件錢包確認重要操作。

如果你希望以更清晰的流程使用鏈上永續合約，可以考慮下載 OneKey，配合 OneKey 硬件錢包與 OneKey Perps，將私鑰控制、保證金管理與交易操作分開處理。你可以前往 onekey.so 了解產品資料，或到 onekey.so/download 開始設定。

風險提示：本文只供資訊參考，不構成任何投資、法律或財務建議。加密資產及永續合約交易風險較高，包括但不限於本金損失、槓桿清算、平台風險、智能合約風險、流動性風險及監管風險。過往安全事件整理不代表對未來風險的預測、保證或背書。請按自身情況獨立判斷，並只使用你能承受損失的資金參與交易。