Hyperliquid bukan nama asing dalam dunia DeFi — ia adalah bursa derivatif terdesentralisasi (DEX) yang menguasai lebih separuh pasaran perpetual futures global menjelang 2026, memproses dagangan bernilai berbilion dolar setiap hari. Namun di sebalik rekod volum yang membanggakan, protokol ini telah dieksploitasi bukan sekali, bukan dua kali, tetapi berulang kali oleh whale yang bijak menggunakan lubang dalam mekanisme likuidasinya sendiri — bermula dengan serangan JELLYJELLY pada Mac 2025 yang menelan hampir $13.5 juta, diikuti manipulasi token XPL bernilai $60 juta, hinggalah eksploit POPCAT yang membebankan vault komuniti dengan hutang buruk $4.9 juta.
Lebih mengejutkan, respons platform itu sendiri — di mana segelintir validator boleh mengubah harga penyelesaian dalam masa dua minit — membuatkan ramai persoalkan: adakah Hyperliquid ini benar-benar "terdesentralisasi", atau hanya label cantik di atas sistem yang masih cukup terpusat untuk dikawal oleh beberapa pihak sahaja?
Apa Itu Hyperliquid?
Hyperliquid adalah bursa terdesentralisasi (DEX) khusus untuk perpectual futures yang beroperasi atas Layer-1 blockchain sendiri, memproses dagangan senilai $1–3 bilion sehari. Menjelang 2026, Hyperliquid mendominasi lebih 50% pasaran derivatif terdesentralisasi global, mengatasi banyak DEX saingan dan mula bersaing dengan bursa terpusat kelas pertengahan.
Kejayaan ini bagaimanapun datang dengan harga — beberapa eksploit besar telah mendedahkan kelemahan struktur dalam protokol ini.
Eksploit JELLYJELLY — Mac 2025
Ini adalah eksploit paling terkenal Hyperliquid sehingga kini. Seorang whale yang tidak dikenali melaksanakan serangan tiga langkah yang sangat dikira menggunakan tiga akaun berbeza.
Langkah 1 — Buka posisi berlawanan:
Whale mendepositkan $7 juta dan membuka tiga posisi serentak dalam masa lima minit: dua posisi long bernilai $2.15 juta dan $1.9 juta, serta satu posisi short bernilai $4.1 juta yang secara efektif mengimbangi kedua-dua long tadi.
Langkah 2 — Picu mekanisme likuidasi HLP:
Whale kemudiannya menarik semua margin daripada posisi short secara sengaja, mencetuskan likuidasi paksa. Posisi short itu terlalu besar untuk dilikuidasi secara normal, maka ia dioper kepada Hyperliquidity Provider Vault (HLP) — vault komuniti yang berfungsi sebagai "pembersih terakhir" posisi besar.
Langkah 3 — Pam harga JELLY 400%:
Setelah HLP mewarisi short position itu, whale ini memompa harga JELLY sebanyak 429% di pelbagai bursa lain. Ini menyebabkan short position yang kini dipegang HLP semakin tenggelam, dengan potensi kerugian HLP mencecah $12 juta.
Whale keluar dengan keuntungan $6.26 juta. Menurut penyiasat blockchain ZachXBT, lima alamat berkaitan pelaku masih memegang ~10% bekalan JELLY bernilai $1.9 juta selepas kejadian.
Respons Hyperliquid — Mendedahkan Sentralisasi
Di sinilah kontroversi yang lebih besar bermula. Apabila kerugian HLP mencecah $12 juta, para validator Hyperliquid bertindak cepat — mereka menyenaraihapus JELLY dan menetapkan harga penyelesaian pada $0.0095, bukan pada harga pasaran semasa (~$0.50) ketika itu.
Tindakan ini menyelamatkan HLP daripada kerugian penuh, tetapi ia mencetuskan kemarahan komuniti DeFi. Proses konsensus validator hanya mengambil masa dua minit — tanda centralization tinggi dalam protokol yang mendakwa dirinya terdesentralisasi.
Pada masa yang sama, sejak Disember 2024, hanya empat validator yang mengamankan jambatan (bridge) Hyperliquid yang memegang $2.3 bilion USDC. Secara teori, hanya tiga validator perlu dikompromikan untuk mengosongkan keseluruhan jumlah itu.
Eksploit-Eksploit Lain: Corak Yang Berulang
Hyperliquid bukan berhenti di JELLYJELLY. Pola serangan yang sama digunakan berulang kali:
Dalam serangan POPCAT November 2025, penyerang mengagihkan $3 juta USDC dari OKX ke dalam 19 wallet berbeza, membina posisi long $26 juta dalam POPCAT, memasang buy wall palsu $20 juta pada harga $0.21 untuk menarik likuiditi luar, kemudian mencabut semua pesanan beli serentak. Harga jatuh serta-merta, liquidation berlaku beramai-ramai, dan HLP terpaksa menyerap $4.9 juta hutang buruk.
Kesan Terhadap Ekosistem DeFi
1. Hilang kepercayaan pada vault komuniti
HLP direka untuk kebaikan komuniti — pengguna deposit USDC dan berkongsi untung-rugi. Eksploit-eksploit ini menunjukkan vault seumpama ini boleh menjadi sasaran yang mudah bila mekanisme likuidasi tidak mempunyai had posisi atau kawalan manipulasi.
2. Aliran keluar besar-besaran
Selepas insiden JELLYJELLY dan kontroversi centralization, Hyperliquid mengalami aliran keluar melebihi $256 juta dalam masa 30 jam. Token HYPE jatuh 21% daripada paras tertinggi dalam tempoh yang sama.
3. Mendedahkan kelemahan oracle terpencil
Dalam eksploit XPL, penyerang mengeksploitasi sistem oracle yang diasingkan (isolated oracle) dan ketiadaan had posisi — dua kelemahan struktur yang membenarkan manipulasi harga berskala besar tanpa sebarang circuit breaker semula jadi.
4. Persoalan tentang "terdesentralisasi" sebenar
Bila validator boleh override harga pasaran dalam dua minit tanpa undi komuniti, banyak pihak persoalkan: adakah ini benar-benar DeFi? Protokol seperti Uniswap dan Aave menggunakan governance yang lebih terbuka dan tidak boleh mengubah harga penyelesaian secara sepihak.
5. Tekanan regulasi meningkat
Insiden berulang ini turut memberi amunisi kepada pengawal selia untuk menghujahkan bahawa DEX perpectual memerlukan pengawasan lebih ketat — isu yang sedang hangat diperdebatkan di Kongres AS dalam rang undang-undang crypto terkini.
Respons dan Penambahbaikan Hyperliquid
Hyperliquid tidak berdiam diri. Menjelang awal 2026, bilangan validator meningkat daripada 4 kepada 21 validator, memperbaiki desentralisasi walaupun masih jauh berbanding blockchain matang seperti Ethereum. Platform juga menambah program bug bounty dan menjalankan audit keselamatan oleh firma Zellic dan Certora.
Walaupun begitu, pakar keselamatan dari Halborn menegaskan bahawa bridge antara Arbitrum dan Hyperliquid L1 masih merupakan vektor serangan berpotensi — seperti mana Ronin Bridge ($600 juta) dan Wormhole ($320 juta) pernah dieksploitasi sebelum ini.
Kesimpulan
Hyperliquid adalah kisah dua sisi — inovasi yang luar biasa dalam derivatives DeFi, tetapi juga contoh nyata bagaimana rekabentuk protokol yang tidak matang boleh dieksploitasi berulang kali dengan cara yang hampir sama. Bagi trader, bagi pembangun platform, dan bagi sesiapa yang simpan duit dalam vault komuniti, insiden-insiden ini adalah peringatan keras: tidak semua DEX dicipta sama, dan "terdesentralisasi" di atas kertas tidak semestinya bermaksud selamat dalam realiti
Catat Ulasan