¡Manipulación maliciosa de POPCAT! Hyperliquid pierde 4.9 millones de dólares, el atacante se autodestruye 3 millones.

La conocida plataforma de intercambio de futuros perpetuos descentralizada Hyperliquid ha sido noticia esta semana por sufrir un “ataque de liquidez”, donde un comerciante manipuló maliciosamente el precio de la moneda meme POPCAT, lo que resultó en una pérdida de 4.9 millones de dólares para el fondo de liquidez activo de la bolsa, Hyperliquidity Provider (HLP).

Línea de tiempo completa del ataque de manipulación de POPCAT

（fuente: ArbiScan）

Según las capturas de pantalla de la plataforma y los registros de transacciones del explorador de blockchain ArbiScan, Hyperliquid suspendió los servicios de depósito y retiro del puente de cadena cruzada de Arbitrum alrededor de las 0:22 horas del 13 de noviembre, alegando “mantenimiento del sistema”. El analista on-chain MLMabc publicó una suposición de que la razón por la cual Hyperliquid suspendió los servicios de entrada y salida de fondos podría deberse a que un trader realizó operaciones masivas de posiciones largas de POPCAT en la plataforma, con la intención de aumentar artificialmente el precio.

Hace aproximadamente 13 horas, un atacante retiró 3 millones de dólares en USDC de un CEX, distribuyéndolos en 19 billeteras. Alrededor de las 14:45 hora de Europa Central, comenzó a colocar una orden larga de aproximadamente 20 millones de dólares en POPCAT a un precio de alrededor de 0.21 dólares. A medida que se acumulaban estas órdenes largas, la posición total de las 19 billeteras alcanzó aproximadamente 30 millones de dólares. Cuando retiró el muro de compra de ocho cifras, aproximadamente de 20 millones a 30 millones de dólares en órdenes largas de POPCAT fueron forzadas a ser liquidadas, obligando a HLP a asumir pasivamente esta posición.

Los analistas señalan que esta operación provocó una caída adicional en el precio de POPCAT, causando a HLP pérdidas de aproximadamente 4.9 millones de dólares, y Hyperliquid posteriormente tuvo que cerrar manualmente la posición. MLMabc considera que la operación de este trader tenía la intención de “interferir deliberadamente con Hyperliquid”, “nadie puede perder 3 millones de dólares en cuestión de segundos por pura negligencia”. Este comentario revela la naturaleza no lucrativa del ataque, ya que el capital inicial del atacante se agotó por completo en este proceso.

Las cuatro etapas clave del ataque POPCAT

Preparación de fondos: Retirar 3 millones de USDC de CEX y distribuirlos en 19 billeteras.

Establecer una posición larga: abrir una orden larga de 26 millones de dólares en POPCAT con apalancamiento cerca de 0.21 dólares

Fabricar liquidez falsa: establecer un muro de compra de 20 millones de dólares emite una señal de fuerza en el mercado.

Activar liquidación en cadena: La eliminación del muro de compra provoca la desaparición de la liquidez, y las posiciones largas son liquidadas forzosamente.

Diseño y ejecución precisos de la trampa de compra

Esta pared de compra valorada en 20 millones de dólares ha creado una ilusión temporal de fuerza de demanda. El precio reacciona a esta señal, mientras los participantes interpretan la pared de compra como un soporte estructural y sube. Sin embargo, una vez que la pared desaparece, este soporte se desvanece y la liquidez se vuelve escasa. Debido a la falta de ofertas para absorber la volatilidad del mercado, las posiciones de alto apalancamiento comienzan a liquidarse a gran escala. La tesorería del Proveedor de Hiperliquidez del protocolo está diseñada para absorber tales eventos y ha sido impactada en su totalidad.

La pared de compra es una técnica común de manipulación de precios en el comercio de criptomonedas. Los atacantes colocan una gran cantidad de órdenes de compra en un nivel de precio determinado, creando la ilusión de que dicho precio tiene un fuerte soporte. Otros comerciantes, al ver esta gran orden de compra, pueden seguir adelante y comprar, pensando que el precio no caerá por debajo de ese nivel. Sin embargo, cuando los atacantes retiran repentinamente la pared de compra, el precio pierde soporte y cae rápidamente, dejando atrapados a los comerciantes que siguieron comprando e incluso forzándolos a cerrar sus posiciones.

En este incidente de manipulación de POPCAT, la astucia del atacante radicó en establecer simultáneamente enormes posiciones largas y un muro de compra. El muro de compra no solo engañó a otros traders, sino que, lo que es más importante, creó un soporte temporal de precios para su propia posición larga. Cuando el atacante retiró el muro de compra, no solo las posiciones largas de otros traders fueron liquidadas, sino que también los 30 millones de dólares en posiciones largas del atacante fueron forzosamente liquidadas.

La clave de esta operación radica en el mecanismo de liquidación. En el comercio de futuros perpetuos, cuando las pérdidas de una posición alcanzan un cierto nivel, el intercambio forzará automáticamente el cierre de la posición para proteger el sistema. Debido a que Hyperliquid utiliza un mecanismo de creador de mercado automatizado (AMM), cuando se cierran forzosamente grandes posiciones largas, el fondo de liquidez de la plataforma debe asumir estas posiciones. La caída drástica del precio de POPCAT hizo que las posiciones asumidas por HLP generaran pérdidas masivas inmediatamente.

Ataques no rentables revelan la fragilidad estructural de DeFi

La diferencia entre este evento y la manipulación de precios típica es que los iniciadores no obtuvieron ganancias. El capital inicial de 3 millones de dólares se agotó por completo en este proceso. Esto indica fuertemente que el objetivo no era el beneficio económico, sino la destrucción de la estructura. Al introducir señales de liquidez falsas, eliminándolas en el punto preciso y activando el umbral de liquidación, los atacantes pudieron manipular la lógica interna del sistema de tesorería.

Este tipo de “ataque suicida” es extremadamente raro en la historia de las criptomonedas. El atacante está dispuesto a perder 3 millones de dólares para causar una pérdida de 4.9 millones de dólares a Hyperliquid, lo que significa que no es por lucro, sino posiblemente para destruir a un competidor, probar las debilidades del sistema, o realizar “arte de acción”. La reacción de la comunidad varió desde análisis técnico hasta ironía. Un observador lo describió como “la investigación más cara de la historia”, mientras que otro observador consideró que toda la quema de 3 millones de dólares es “arte de acción”.

El objetivo de este fondo es equilibrar el riesgo entre posiciones y proporcionar liquidez en momentos de volatilidad, pero ha sido arrastrado a una cascada de liquidaciones que no se puede contener completamente. Esto ha suscitado dudas sobre cómo los mecanismos automáticos de liquidez manejan eventos de volatilidad integrada, especialmente cuando se enfrentan a participantes maliciosos pero informados estructuralmente. En este caso, no se encontraron debilidades en el código. Por el contrario, la vulnerabilidad radica en las suposiciones que sustentan la estructura del mercado y el control del riesgo.

Hyperliquid también experimentó un incidente similar en marzo de este año, cuando un comerciante vendió en corto la moneda meme JELLYJELLY de Solana, y sorprendentemente, el precio de la moneda se disparó un 429% en una hora, lo que llevó a la plataforma a asumir una pérdida no realizada de 12 millones de dólares. Este incidente de POPCAT marca otra pérdida significativa que Hyperliquid ha sufrido debido a un evento de coordinación único, destacando que incluso sin la explotación de vulnerabilidades en el código externo, el sistema interno también puede ser dañado por ataques de liquidez precisos.

Mecanismo de bloqueo de emergencia y respuesta de la plataforma

Poco después de que el fondo se viera afectado, el puente de retiros de Hyperliquid fue desactivado temporalmente. Un desarrollador asociado con el protocolo indicó que la plataforma había pausado utilizando una función llamada “bloqueo de emergencia por votación”. Este mecanismo permite a los administradores de contratos detener ciertas operaciones durante eventos de manipulación sospechosa o riesgos de infraestructura. La función de retiro se reactivó aproximadamente una hora después. Hyperliquid no ha emitido ninguna comunicación oficial que relacione directamente la congelación con los eventos de comercio de POPCAT.

Sin embargo, este momento indica la adopción de medidas preventivas, destinadas a evitar la fuga de capitales o la manipulación durante períodos de inestabilidad en la plataforma. Este mecanismo de bloqueo de emergencia es bastante controvertido en las finanzas descentralizadas. Por un lado, proporciona las garantías de seguridad necesarias, permitiendo al equipo proteger los fondos de los usuarios en momentos de crisis. Por otro lado, debilita el compromiso de “descentralización”, ya que los administradores centralizados aún tienen el poder de congelar los fondos.

Después del ataque, Hyperliquid aún no ha anunciado ningún cambio en su mecanismo de tesorería. Sin embargo, el ecosistema DeFi más amplio puede prestar atención a esta estrategia y revisar cómo la tesorería absorbe o refleja riesgos bajo presión sintética coordinada. Este evento de POPCAT se ha convertido en un estudio de caso que ilustra cómo ejercer presión sobre sistemas descentralizados utilizando únicamente herramientas y capital disponibles públicamente.