从技术角度深入解读Hyperliquid的架构与潜在问题

近期备受关注的某链上订单簿交易所已成为最具影响力的项目之一,其总锁仓价值(TVL)突破20亿美元,被评价为"链上版某知名中心化交易所"。该项目甚至将Layer3和应用链概念重新带回公众视野。凭借上线一个月内估值达300亿美元的辉煌成绩,该项目获得了广泛关注。市面上涌现了大量研究报告,但大多聚焦于产品功能和交易机制,鲜有深入探讨其技术构造和安全隐患。

本文旨在弥补这一空白,纯粹从技术构造与安全角度审视该项目,帮助更多人理解其结构与原理。我们将从跨链桥合约的构造与隐患、双链构造两大方面展开阐述,深入剖析其背后的技术架构与实现方式。

跨链桥合约解析

该项目在某Layer2网络上部署了跨链桥合约,用于存储用户存入的USDC资产。从合约中可以看到节点的部分行为。

验证者集合

该项目有4组验证者,分别是热验证者集、冷验证者集以及定案人和锁定人,对应不同职能:

• 热验证者集用于响应用户高频操作如提款,使用热钱包随时响应用户请求。

• 冷验证者集主要用于修改系统配置,如更改验证者名单,处理桥合约锁定状态,可直接使某些提款请求无效。

• 锁定人类似"安全委员会",可在紧急情况下投票暂停跨链桥。目前有5个地址,只需2个投票即可暂停桥合约。

• 定案人主要确认跨链桥状态变化,如用户存取款。

存款

桥合约基于EIP-2612的Permit方法处理用户存款,只允许存入USDC。使用批量存款函数处理多笔存款,流程简洁无资金风险。

提款

提款是高风险操作,流程较复杂:

1. 用户发起提款请求后,需凑齐热验证者集2/3签名权重。

2. 有200秒"争议期",期间锁定人可投票冻结合约,冷验证者可使提款无效。

3. 争议期结束后,定案人可确认最终状态,USDC才会转入用户钱包。

桥合约锁定

锁定人可投票锁定桥合约。2名锁定人投票后合约暂停运转。锁定人也可撤回投票。合约被锁定后,只能由冷验证者2/3签名解锁。解锁时会更新验证者名单。

验证者更新

更新验证者需所有热验证者签名,有200秒争议期。期满后需定案人确认完成更新。

主要风险

1. 黑客控制冷验证者可无视阻拦盗取用户资产。

2. 定案人可拒绝确认提款交易,展开审查攻击。

3. 锁定人恶意锁定桥合约,暂停所有提款。

双链交互架构

为实现订单簿交易可编程化,该项目推出了特殊EVM方案。其优势是可读取订单簿状态,智能合约可与订单系统交互,扩展应用场景。

该项目采用"双链方案",节点同时运行两条链:

1. 订单簿专用链:许可制,高性能

2. EVM兼容链:无许可,可部署智能合约,通过预编译访问专用链数据

两链通过相同共识协议传播数据,但分别执行。EVM链可读取过往专用链区块数据,向未来区块写入数据。

交互机制

1. 预编译:增加特殊合约,允许EVM读取专用链状态。

2. 事件:EVM合约可触发事件,节点据此在专用链执行相应操作。

共识协议

采用基于HotStuff的HyperBFT协议,理论上每秒可处理200万笔订单。

开发注意事项

1. msg.sender可能为系统合约地址

2. 交互非原子性可能导致资产损失

3. EVM合约地址需在专用链映射

4. 资产跨链时可能暂时无法查询余额

总之,该项目的EVM链类似专用链的二层,但提供了更高互操作性。其创新架构为高性能订单簿与智能合约结合提供了新思路,但也带来了一些潜在风险和开发难点。