Hyperliquid sob a lente: quando a auditoria técnica se transforma numa batalha pelo mercado Perp

A meio de dezembro, blog.can.ac publicou um artigo de análise intitulado «Reverse Engineering Hyperliquid», que desmontou o protocolo de instrumentos derivados em detalhes. Nove acusações, desde «insolvência» até «modo Deus», fizeram toda a indústria DeFi questionar-se. Mas será que se trata de uma crise real ou, sobretudo, de uma ofensiva no campo da concorrência?

Drama com 362 milhões de dólares – ou a sua ausência

A primeira e mais dramática acusação soou como um provérbio de desastre cripto: ativos dos utilizadores no Hyperliquid têm um défice de 362 milhões de dólares face às reservas on-chain. A realidade, porém, revelou-se mais aborrecida do que dramática.

O problema residia na arquitetura de transição da plataforma de AppChain para uma L1 independente. O acusador focou-se apenas no saldo USDC da ponte para Arbitrum – ignorando completamente os ativos nativos já migrados para HyperEVM.

A imagem completa é a seguinte:

• Ponte Arbitrum: 3,989 mil milhões de USDC
• HyperEVM (native): 362 milhões de USDC
• Contratos HyperEVM: 59 milhões de USDC
• Total: 4,351 mil milhões de USDC ≈ saldos totais dos utilizadores

Os alegados «dinheiros desaparecidos» são simplesmente fluxos entre livros – um resultado direto da modernização da infraestrutura. Qualquer pessoa pode verificar on-chain. Ainda que seja uma centralização, já não é uma fraude.

Quais problemas foram admitidos e quais permanecem ocultos?

A equipa Hyperliquid publicou uma resposta abrangente. Algumas questões foram resolvidas, outras admitidas com explicações, e algumas permanecem na penumbra.

###Explicado e encerrado

«CoreWriter» – o chamado modo Deus: Os acusadores alegaram que permite imprimir dinheiro do ar. A realidade: trata-se de uma interface comum para interagir com a L1 e HyperEVM (staking, operações de sistema) com permissões limitadas. Não há possibilidade de apropriação indevida de fundos dos utilizadores.

Luka de 362 milhões: Como explicado acima – trata-se de um mal-entendido devido à arquitetura dispersa.

Protocolo de empréstimos (HIP-1): A documentação é pública. A função spot/lending funciona de forma transparente, não secreta.

###Admitido, mas com contexto

Código de testnet no mainnet: Parte do binário continha uma função de modificação do volume de transações (TestnetSetYesterdayUserVlm). Foi admitido o seu funcionamento, explicado – é uma herança do testnet. No mainnet, a trajetória está fisicamente isolada e nunca será ativada.

Apenas 8 endereços de broadcast: Admitido. Justificação – é um mecanismo de proteção contra MEV (maximum extractable value) e frontrunning. Está prevista uma futura dispersão.

Mudança de toda a rede sem possibilidade de reversão: Sim, é possível. É um procedimento padrão em atualizações de rede – os validadores devem sincronizar a versão.

Preço do oráculo pode ser sobrescrito imediatamente: Explicado como um mecanismo de segurança para situações extremas. Em crises, 10/10 validadores-oráculos precisam de rapidez, mesmo sem timeclocks.

###Locais obscuros – o que o Hyperliquid omitiu

Duas questões discutidas pelo Hyperliquid permanecem na sombra:

Propostas de governança não são verificáveis (Governance proposals are unqueryable): Os utilizadores veem o resultado da votação, mas não o conteúdo das propostas registado on-chain. Para um investidor comum, a gestão do Hyperliquid é uma caixa preta – pode ver o resultado, mas não o processo de decisão.

Falta uma «saída de emergência» no ponte: Os pagamentos podem ser verificados indefinidamente, o utilizador não pode forçar uma transferência para a L1 sem o consentimento dos validadores. Em caso de incidente, o ponte POPCAT foi bloqueado. O Hyperliquid não negou este facto.

Ofensiva contra a concorrência – o verdadeiro objetivo de toda a polémica

A parte mais importante da resposta oficial foi dirigida não aos acusadores, mas aos concorrentes. O Hyperliquid desmontou publicamente a arquitetura de Lighter, Aster e outros protocolos:

Lighter – um sequenciador centralizado único, lógica de execução e circuitos de zero-knowledge não são públicos

Aster – motor de matching centralizado, oferece trading em dark pools acessível apenas com um sequenciador único e processo não verificável

Outros protocolos – podem ter código aberto, mas o sequenciador permanece uma caixa preta

O tom mais agressivo da narrativa do Hyperliquid tem uma razão simples – luta por quotas de mercado. Dados do DefiLlama dos últimos 30 dias mostram uma ausência de equilíbrio:

Em volume, o Hyperliquid é o terceiro, mas em open interest domina toda a indústria. Assim, o jogo do Hyperliquid é uma questão de narrativa: «Embora tenhamos 8 endereços centralizados de broadcast, todo o estado está on-chain e pode ser verificado – vocês nem oferecem isso».

Quem faz short em HYPE? A história de um ex-funcionário

A comunidade obsessivamente acompanha quem faz dump do token HYPE. O Hyperliquid revelou mais detalhes: o endereço de short que começa por 0x7ae4 pertence a um ex-funcionário despedido no início de 2024. São transações pessoais, não atividade da equipa.

A plataforma afirma que atualmente há auditorias rigorosas de todas as transações dos funcionários – insider trading é estritamente proibido. A resposta reduz o problema de uma «campanha consciente da equipa» para «decisões pessoais de um ex-funcionário», mas a questão da transparência na libertação de tokens para todo o ecossistema permanece em aberto.

Conclusão – confie no algoritmo, não na narrativa

Esta história é um guia para a gestão moderna de crises no DeFi. O Hyperliquid não se limitou à defesa – passou ao ataque, redefinindo as normas de transparência para a concorrência. Contudo, provar que «o dinheiro está na blockchain» é apenas o começo.

O verdadeiro teste será a dispersão gradual destes 8 endereços de broadcast sem comprometer a performance e a resistência ao MEV. Só assim o Hyperliquid passará de uma plataforma «centralizada, mas transparente» para uma «descentralizada e verificável» – aquilo que os entusiastas de cripto realmente desejam.

Para qualquer investidor, este episódio confirma uma regra inquebrável: não confie na narrativa, verifique os dados. Na era dos AppChains e das pontes dispersas, a verificação tradicional do saldo do contrato já não basta. É preciso lembrar que os ativos podem estar dispersos por várias contas – e isso nem sempre é uma fraude.