Intro
L'episodio del "disconnettersi" della rete di Hyperliquid è stato visto come un comportamento "troppo centralizzato", mentre l'incidente di manipolazione dell'oracolo su Polymarket ha portato a valutarlo come una piattaforma di "pseudo-decentralizzazione". Con il tema cruciale della "decentralizzazione" che torna al centro del dibattito, come dovremmo considerare le piattaforme decentralizzate che non sono abbastanza "decentralizzate"?
Scopriamo insieme cosa è successo e quali sono le implicazioni per il settore.
L'attacco a Hyperliquid e la risposta controversa
Dopo il noto incidente di liquidazione su Hyperliquid causato dalla "whale con leva 50x" il 12 marzo, la piattaforma ha subito un nuovo "flash attack" mirato alla sua liquidità e al modello di governance la sera del 26 marzo. Un team di trading ha replicato l'operazione della "whale con leva 50x" ritirando il margine in modo da costringere il vault HLP di Hyperliquid ad assumersi enormi posizioni in perdita. La differenza, questa volta, è che il team ha scelto JELLYJELLY, una Meme coin con bassa liquidità e facile da manipolare, invece di Bitcoin ed Ethereum.
Sebbene l'emergenza sia stata contenuta grazie all'intervento rapido dell'exchange, l'evento ha esposto diverse falle nella governance centralizzata, nella gestione della liquidità e nella difesa dalle manipolazioni di mercato di Hyperliquid.
Cos’è successo esattamente?
Ripercorrendo gli eventi, il piano di attacco era semplice ma ben orchestrato.
Il 26 marzo, il team di trading ha aperto un ordine short di 430 milioni di JELLYJELLY tramite un indirizzo che iniziava con 0xde9, utilizzando un margine di 3,5 milioni di USDC (circa 4,08 milioni di dollari al tempo), con un prezzo di apertura di 0,0095 dollari. Successivamente, hanno iniziato ad acquistare grandi quantità di token JELLYJELLY per spingere al rialzo il prezzo spot, ritirando poi 2,76 milioni di USDC dopo aver chiuso 30 milioni di contratti short a 0,0103 dollari. In questo modo, sono riusciti a scaricare 398 milioni di contratti short su Hyperliquid, innescando il meccanismo di liquidazione automatica e costringendo il vault HLP a prendere in carico le posizioni.
La perdita fluttuante del vault HLP ha superato temporaneamente i 13 milioni di dollari.
Ma quando il prezzo si avvicinava alla linea di liquidazione, Hyperliquid ha agito. Tuttavia, la battaglia che molti si aspettavano non è mai avvenuta.
Hyperliquid ha semplicemente "staccato la spina" interrompendo gli aggiornamenti di prezzo di JELLYJELLY e delistando il token. Successivamente, ha forzato la chiusura degli ordini short al prezzo iniziale di 0,0095 dollari, mentre il prezzo spot di JELLYJELLY era intorno a 0,05 dollari.
In un tweet ufficiale, Hyperliquid ha dichiarato:"Dopo aver trovato prove di attività di mercato sospette, il gruppo di validatori ha tenuto una riunione e votato per delistare il contratto JELLY. Tutti gli utenti, tranne gli indirizzi segnalati come violatori, riceveranno un rimborso completo dal Hyper Foundation. Questo sarà fatto automaticamente sulla base dei dati on-chain nei prossimi giorni."
Le conseguenze per Hyperliquid
Nonostante Hyperliquid sembri aver risolto la crisi di liquidità, l'impatto di questo evento potrebbe tormentarla per molto tempo. Prima di tutto, gli utenti hanno ritirato fondi in preda al panico, aumentando la pressione sulla liquidità, causando un deflusso netto di 140 milioni di USDC in poche ore e facendo scendere il TVL da 2,5 miliardi a 2,07 miliardi di dollari negli ultimi 30 giorni.
Inoltre, l'incidente ha evidenziato numerosi problemi strutturali, come difetti nel design della liquidità, la dipendenza dai vault come controparti e una gestione del rischio insufficiente per le posizioni ad alta leva. L'incidente della balena aveva già esposto vulnerabilità simili, ma le misure correttive di Hyperliquid non sono state sufficienti a prevenire un secondo attacco.
Il colpo più duro è stato alla narrazione decentralizzata di Hyperliquid. Lo stacco repentino del token e la liquidazione forzata, ignorando il prezzo di mercato reale, hanno evitato enormi perdite per il tesoro e gli utenti, ma hanno anche sollevato dubbi sulla decentralizzazione e sulla correttezza delle regole. In particolare, il comitato dei validatori di Hyperliquid è completamente controllato dalla fondazione ufficiale.
La presunta votazione decentralizzata manca di partecipazione della comunità: in questo caso, tutti i validatori erano affiliati alla Hyper Foundation. Questo ha evidenziato la natura centralizzata della governance di Hyperliquid, guadagnandole l'etichetta di "CEX mascherato da DEX".
I piccoli investitori sono stati i principali danneggiati.
Secondo Coinglass, il totale delle liquidazioni di JELLYJELLY in quel giorno ha raggiunto circa 16,94 milioni di dollari. Molti hanno comprato o aperto posizioni long seguendo la tendenza, solo per vedere il prezzo crollare da 0,066 a 0,02 dollari come una montagna russa. Questo potrebbe ulteriormente minare la fiducia degli investitori retail nelle piattaforme decentralizzate.
E i vincitori? Probabilmente nessuno.
Il team di trading che ha manipolato il mercato, così come Binance e OKX che hanno "gettato benzina sul fuoco" lanciando rapidamente contratti JELLYJELLY durante la crisi di Hyperliquid, hanno subito perdite significative. I primi sono stati esclusi dal rimborso di Hyperliquid, mentre le reputazioni di Binance e OKX ne sono uscite danneggiate.
Polymarket: L'attacco alla governance e l'inazione
Prima dell'incidente di Hyperliquid, il 25 marzo, Polymarket ha affrontato un grave attacco di manipolazione dell'oracolo.
Quando il mercato predittivo stava per essere liquidato, un utente che deteneva una grande quantità di token UMA ha manipolato il meccanismo di voto dell'oracolo per alterare i risultati di liquidazione, invertendo le sue perdite. Alla fine, il grande investitore e gli utenti che avrebbero dovuto perdere la scommessa hanno diviso tutti i fondi del pool premi.
Questo episodio ha esposto i rischi nascosti nel meccanismo decentralizzato di Polymarket. Sebbene il sistema si presenti come decentralizzato, i diritti di voto sono concentrati in poche mani, rendendolo vulnerabile alla manipolazione del capitale. Polymarket, a differenza di Hyperliquid, ha scelto di mantenere "l'apparenza di giustizia procedurale", rifiutando di rimborsare gli utenti colpiti e promettendo solo miglioramenti futuri.
La domanda oggetto della disputa riguardava: "L'Ucraina accetterà di firmare un accordo minerario con Trump prima di aprile?". Secondo i fatti, fino al momento della liquidazione del mercato, Trump aveva solo verbalmente dichiarato che l'accordo sarebbe stato firmato "presto", senza alcuna conferma ufficiale che Ucraina e Stati Uniti avessero concluso formalmente l'accordo. Tuttavia, Polymarket ha ignorato i fatti e ha stabilito il risultato come "SÌ".
Come hanno fatto i grandi investitori a manipolare il sistema?
La risposta risiede nei meccanismi di giudizio e voto di Polymarket.
Polymarket si affida all'oracolo decentralizzato di UMA per verificare i risultati, e i diritti di voto sono controllati dai possessori di token UMA. Tuttavia, poiché i token UMA sono altamente concentrati nelle mani di poche "whales", l'apparentemente decentralizzato UMA è in realtà facilmente influenzabile dal capitale.
D'altra parte, le regole di voto di Polymarket hanno ulteriormente aggravato questa tendenza centralizzata: sollevare un'obiezione richiede un deposito fino a 750 dollari, ma se il risultato del voto è sbagliato, l'obiettore perderà il deposito; e anche se il risultato è corretto, la ricompensa ottenibile non è significativa.
Ciò scoraggia gli utenti ordinari dal sollevare obiezioni, mentre i grandi detentori di UMA possono facilmente pagare il deposito e dominare la direzione del voto.
In questo incidente, un grande investitore ha biddato con circa 5,08 milioni di token UMA (circa il 25% del totale dei voti) attraverso tre account poco prima della liquidazione del mercato, il che ha portato a un ribaltamento della decisione.
Questo incidente ha esposto direttamente i rischi di controllo del capitale nascosti nel meccanismo decentralizzato di Polymarket. Tuttavia, a differenza della controversia sulla "centralizzazione del potere" che circonda la Hyper Foundation, Polymarket evidenzia maggiormente la "centralizzazione del capitale". Come molti utenti hanno contestato, quando questi grandi giocatori possono "cambiare il giusto con lo sbagliato" con i loro token, come possono i partecipanti ordinari fidarsi della correttezza di questo mercato?
Nel frattempo, di fronte alle accuse e proteste della comunità e degli utenti, i funzionari di Polymarket hanno ammesso dopo l'incidente che il verdetto era in contrasto con le aspettative degli utenti e la realtà, ma hanno rifiutato di rimborsare gli utenti colpiti adducendo la motivazione di "non esserci stati guasti del sistema", promettendo solo di rafforzare il monitoraggio del sistema e migliorare le regole con il team di UMA.
Questa operazione può essere definita completamente opposta a quella di Hyperliquid. Polymarket ha scelto di mantenere l'apparenza di "giustizia procedurale" e ha chiarito che non avrebbe interferito in questo incidente. Come previsto, l'inazione di Polymarket ha scatenato critiche ancora più forti dalla comunità.
Conclusioni: La sfida della decentralizzazione
Questi due incidenti hanno nuovamente acceso il dibattito sulla decentralizzazione. Lo "staccare la spina" di Hyperliquid è stato visto come un comportamento "troppo centralizzato", mentre l'incidente di Polymarket ha evidenziato una "pseudo-decentralizzazione". Entrambi mostrano i limiti delle piattaforme decentralizzate nella gestione delle crisi: l'intervento umano viola il principio di decentralizzazione, ma lasciare correre può sacrificare i diritti degli utenti.
Nonostante lo sviluppo del settore crypto negli ultimi 17 anni, raggiungere una "vera decentralizzazione" è ancora difficile. Questi eventi rappresentano una fase necessaria per scoprire e risolvere le carenze nei meccanismi di governance e algoritmi. Nel breve termine, l'intervento centralizzato può essere tollerato per salvaguardare il sistema, ma nel lungo periodo, queste piattaforme devono tornare all'essenza della "governance basata sul codice".
La fiducia degli utenti deve essere costruita gradualmente, e i prodotti decentralizzati devono continuare a innovare. Solo così potranno superare le loro vulnerabilità e crescere verso una decentralizzazione resiliente.
