Hyperliquid, décentralisé jusqu’à un certain point ? Retour sur l’attaque JELLY

Hyperliquid, le nouveau DEX à succès - mais cible privilégiée des traders

Le succès d'Hyperliquid, vérifiable par ses volumes de trading quotidiens, est d'autant plus remarquable car le DEX est un protocole encore très jeune. Ce faisant, Hyperliquid est encore relativement peu éprouvé, et demeure une cible de choix pour les tentatives de manipulation pour certains traders mal attentionnés.

Il y a tout juste 2 semaines, Hyperliquid essuyait une perte de 4 millions de dollars suite à une manipulation massive avec un levier de 300 millions de dollars sur de l'Ether. Avec une stratégie ingénieuse, un trader était parvenu, sur le fil du rasoir, à laisser Hyperliquid se débrouiller avec sa liquidation après avoir empoché ses gains grâce à son levier.

Une manipulation demandant un certain sang-froid et une connaissance aiguë des processus de liquidation, mais aussi du fonctionnement d'Hyperliquid.

📈 Retrouvez notre sélection des meilleurs DEX pour trader vos cryptomonnaies

Pour faire simple, Hyperliquid repose sur l'Hyperliquid Liquidity Pool (HLP), une sorte de coffre de liquidité interne mutualisé dans lequel les utilisateurs peuvent déposer des fonds et être récompensés pour cela (grâce aux fees récoltés par le protocole). C'est le HLP qui permet de fournir de la liquidité aux traders du DEX lorsque cela est nécessaire.

Le HLP permet de maintenir la stabilité des opérations de trading au sein du protocole. Au-delà d'offrir de la liquidité, il sert aussi à protéger les utilisateurs en jouant le rôle de « tampon de sécurité ». Il hérite par exemple des positions liquidées... et c'est là sa force et sa faiblesse.

Comment le token JELLY a-t-il été manipulé sur le DEX ?

Naturellement, c'est une bonne chose qu'un protocole dispose de fonds à disposition pour protéger ses utilisateurs - Bybit l'a récemment démontré. Cependant, dans le cas d'Hyperliquid, le HLP constitue un point faible pour le protocole, constamment exposé aux tentatives de manipulations de marché.

À première vue, personne n'aurait intérêt à tenter de mettre le HLP en difficulté : cela nécessite de se faire liquider. Mais nous l'avons vu, d'ingénieux coups de poker peuvent permettre d'encaisser de grosses sommes d'argent tout en laissant le fonds des utilisateurs du DEX se débrouiller avec une liquidation plus ou moins importante à gérer.

📍 Découvrez dYdX, le DEX spécialisé dans les perps crypto

Pourtant, hier, Hyperliquid s'est retrouvé sous le feu des projecteurs pour ces raisons là. Voici ce qui s'est passé :

Un même attaquant a déposé un peu plus de 7 millions de dollars sur 3 comptes Hyperliquid distincts en quelques minutes afin de manipuler le memecoin JELLY, très faiblement capitalisé (environ 10 millions de dollars avant l'attaque). Une cible parfaite.

En résumé, via l'adresse 0xde95, le trader a ouvert une position short massive sur le JELLY (400 millions de tokens - soit 40 % de la supply) tout en ouvrant des longs en parallèle sur d'autres adresses.

Le trader s'est auto-liquidé en réduisant sa marge manuellement, laissant le HLP prendre le relais - c'est-à-dire le coffre-fort du protocole reposant sur les fonds déposés par les utilisateurs.

Ce dernier était alors face à une perte latente de 12 millions de dollars, considérant que le prix du token JELLY était de 0,05 dollar à son plus haut.

En parallèle, via l'adresse 0x20e8 fraîchement créée, notre trader a réalisé plusieurs millions de gains suite à la hausse du token JELLY et à sa position long (entre 8 et 10 millions de dollars).

En somme, avec cette manoeuvre, l’idée était de gonfler artificiellement l’effet de levier global tout en prenant des positions opposées pour :

1. Faire liquider volontairement la position short ;
2. Transférer cette position perdante au HLP ;
3. Profiter de l'explosion du prix sur les positions long ;
4. Se retirer avec les profits, laissant les pertes à Hyperliquid.

La réaction d'Hyperliquid, et de ses concurrents

Face à la situation, Hyperliquid s'est retrouvé dans l'obligation de délister le token JELLY. Effectivement, si le prix du token venait à trop monter, le montant des pertes à assumer pour le HLP pourrait se révéler très lourd, voire critique dans le pire des scénarios.

After evidence of suspicious market activity, the validator set convened and voted to delist JELLY perps.

All users apart from flagged addresses will be made whole from the Hyper Foundation. This will be done automatically in the coming days based on onchain data. There is no…

— Hyperliquid (@HyperliquidX) March 26, 2025

Cela n'est pas indiqué dans le tweet d'Hyperliquid, mais il convient de souligner qu'au moment où le HLP se retrouvait le plus à risque, Binance et OKX ont tous deux décidé de lister le JELLY sur leurs plateformes. Gracy Chen, la PDG de Bitget, a d'ailleurs tweeté pour dire qu'Hyperliquid était un « FTX 2.0 ». De quoi alimenter un bank run version Web3.

Un curieux hasard, pour ne pas dire une tentative de tuer Hyperliquid - un concurrent décentralisé gênant - en pariant sur la hausse du token.

En parallèle et afin de limiter les pertes du HLP, Hyperliquid a manuellement modifié le prix de son oracle sur le token JELLY, le passant d'environ 0,05 à 0,0095 dollar. Ce faisant, le DEX a non seulement effacé la perte latente du HLP, mais il a également récolté 700 000 dollars de bénéfices.

Une manipulation vivement critiquée, beaucoup pointant du doigt la « prétendue décentralisation » du protocole, lequel aurait en fait agi de manière tout à fait centralisée. Effectivement, Hyperliquid est particulièrement surveillé sur ce point, puisqu'ayant été lancé sur mainnet avec un set de seulement 4 validateurs. Ce nombre a depuis été porté à 16, bien que cela ne soit pour beaucoup pas suffisant. Ces validateurs ont d'ailleurs tous été sélectionnés par Hyperliquid.

the validator set who voted: pic.twitter.com/BmCslhigny

— Spreek (@spreekaway) March 26, 2025

Cependant, Hyperliquid s'est déjà exprimé sur le sujet, arguant qu'étant donné sa relative jeunesse, le protocole attendait d'arriver à maturité suffisante pour s'orienter vers une décentralisation complète. Cela est aussi valable pour le code du DEX, qui demeure pour le moment en partie inaccessible publiquement.

Bref : la décision d'Hyperliquid fait largement débat. Le protocole est-il faussement décentralisé ? Est-il acceptable qu'un DEX modifie manuellement un oracle ? La décentralisation est-elle un mirage dans la crypto ?

🗞️ Découvrez le trading de crypto sans liquidations avec f(x) Protocol

Quoi qu'il en soit, le protocole a assuré qu'il rembourserait tous les utilisateurs lésés par cette manipulation.

S'il n'était pas intervenu directement, le HLP aurait pu se retrouver tout bonnement vidé, et les conséquences auraient été catastrophiques. Entre décentralisation parfaite et protection des utilisateurs, la marge de manoeuvre fait en tout cas l'objet de critiques dans les 2 cas. Si Hyperliquid n'était pas intervenu, les mêmes qui critiquent le protocole pour sa centralisation dissimulée l'auraient probablement tout autant accusé de n'avoir rien fait.

Pour autant, des points d'ombres subsistent. Le détective on-chain ZachXBT a notamment souligné que lorsque Hyperliquid servait de relais pour faire transiter les fonds volés par Lazarus, le DEX répondait alors qu'étant décentralisé, il ne pouvait rien faire.

La décentralisation d’Hyperliquid serait-elle mise entre parenthèses dès lors que ses propres intérêts sont en jeu ?

En tant que rédacteur en chef de Cryptoast, je m'engage à rendre le monde des cryptomonnaies et du Web3 accessible à tous. Expert dans l'identification des actualités les plus pertinentes, j'accorde une grande importance à la qualité des articles produits par Cryptoast. Je m'assure que nos lecteurs bénéficient d'informations fiables, vérifiées et présentées de manière claire et agréable à lire. Mon objectif est de partager des connaissances de qualité pour mieux informer et éduquer notre audience sur cet univers en constante évolution.

Maximilien Prué

1400 articles

Tous ses articles