L’attaque ciblée à 3 millions de dollars : défaillance de 5 millions de dollars dans le coffre HLP d’Hyperliquid

L’incident du $POPCAT sur Hyperliquid est un cas d’école de guerre de liquidité en finance décentralisée (DeFi).

Loin d’être une erreur, l’opération a été une tentative délibérée, coûtant $3 millions à l’attaquant, mais révélant une faille structurelle majeure de $4,9 millions dans le fonds de garantie du protocole (HLP).

I. Le protocole de l’attaque : sacrifice pour dommages structurels

L’événement se distingue par l’absence de profit direct pour l’attaquant, suggérant une intention de nuire au système plutôt que de s’enrichir simplement.

• Préparation clandestine : L’agresseur retire $3 millions d’USDC d’OKX et les répartit sur 19 portefeuilles vierges. Ce morcellement visait à contourner les systèmes de surveillance et de limites de risque.
• Création du piège : Utilisation de l’effet de levier pour engager plus de $26 millions en positions longues $POPCAT. L’étape cruciale fut la mise en place d’un « Buy Wall » de $\approx$ $20 millions près de $0.21. Ce mur massif était une fausse preuve de solidité, attirant les ordres d’achat du marché (leçons de spoofing appliquées en on-chain).
• L’Explosion contrôlée : L’annulation immédiate du mur a fait disparaître le support de prix. La liquidation en cascade qui a suivi a contraint le système HLP à absorber des positions toxiques à un prix désastreux.

II. La fissure dans le modèle HLP

La perte de $4,9 millions dans le coffre HLP l’une des plus importantes jamais enregistrées par Hyperliquid est la preuve que le système automatisé de liquidation a échoué à gérer la charge.

• Le Coût de l’Attaque : L’attaquant a brûlé l’intégralité de ses $3 millions de garantie.
• La Vulnérabilité Exploitée : Le sacrifice de capital n’était qu’un moyen de pression pour draguer le HLP dans la cascade de liquidation. Ce scénario illustre que même les plateformes à carnet d’ordres sont vulnérables si leurs tampons de liquidité ne peuvent résister à des attaques aussi ciblées.

III. Réactions et interprétations : « Performance Art » ou risque réel

L’absence de gain a suscité des réactions contrastées dans la communauté, allant de l’amusement à la grande inquiétude :

• L’Art de la performance : Certains ont vu dans cette manœuvre une forme de « performance artistique à $3 millions », suggérant que l’attaquant avait peut-être couvert sa perte par un hedge ailleurs, ou qu’il agissait « uniquement pour le bien de l’intrigue ».
• Leçon coûteuse : D’autres l’ont qualifié de « recherche la plus coûteuse jamais réalisée », soulignant que le HLP est une cible ouverte tant que ses tampons ne sont pas inébranlables.

En réponse, Hyperliquid a temporairement activé la fonction « vote emergency lock » pour stopper les retraits via le pont Arbitrum, une mesure d’urgence pour stabiliser le flux de capitaux, même si aucun lien officiel n’a été établi.

Cette attaque est un signal d’alarme systémique. Elle prouve que le risque en DeFi ne se limite pas aux exploits de contrats, mais inclut la manipulation sophistiquée de marché ciblant l’architecture même de liquidité.