Hyperliquid è una truffa?

No. Hyperliquid è un exchange con order book reale e pubblico, che gira sul proprio L1, con miliardi di volume autentico e fondi che custodisci tu stesso. Nulla di tutto ciò assomiglia a una truffa. Non è però privo di rischi: i rischi tipici di un protocollo DeFi giovane e in rapida evoluzione ci sono tutti — sicurezza del bridge, un set di validator ancora contenuto, la leva finanziaria e la possibilità che un vault in cui depositi registri perdite.

Hyperliquid è mai stato hackerato?

Il protocollo principale e il bridge su Arbitrum non sono mai stati svuotati. Non c'è stato nessun furto di fondi utente tramite exploit su contratto. Hyperliquid ha invece affrontato situazioni di stress strutturale: la manipolazione su JELLY nel marzo 2025 e l'evento di liquidazione su POPCAT a fine 2025, dove il vault HLP è stato messo sotto pressione da mercati sottili e manipolati, non da bug nel codice. Si tratta di fenomeni molto diversi da un hack, e vale la pena capirli separatamente.

I miei soldi sono al sicuro su Hyperliquid?

Il tuo margine USDC risiede in un account non custodiale controllato solo dal tuo wallet, il che elimina il rischio principale di un exchange centralizzato: che l'operatore scappi coi depositi o blocchi i prelievi. Ciò che non può proteggerti è la tua stessa leva, una posizione liquidata, o le perdite su un vault in cui hai depositato. Il modello di custodia è solido. Il rischio di mercato è interamente tuo.

Cos'è stato l'incidente JELLY?

Nel marzo 2025 un trader ha aperto una posizione short molto grande su JELLY, un token con bassa liquidità, poi ha spinto al rialzo il prezzo spot per portare la posizione in forte perdita e scaricare il danno sul vault HLP. I validator di Hyperliquid hanno votato per delistare JELLY e liquidarlo a un prezzo favorevole, limitando il danno a circa 4 milioni di dollari assorbiti dal protocollo. Ha evitato una perdita molto più grave per HLP, ma ha attirato critiche legittime: un voto dei validator che ribalta un esito di mercato è esattamente il tipo di intervento discrezionale che la decentralizzazione dovrebbe escludere.

Hyperliquid richiede il KYC?

No. Hyperliquid opera a livello di protocollo e non raccoglie documenti d'identità. Colleghi un wallet e fai trading. È comodo e privato, ma significa anche che non esiste un'assistenza in grado di recuperare una chiave persa, annullare una transazione errata o recuperare fondi. La self-custody funziona in entrambe le direzioni.

Hyperliquid può bloccare i miei fondi?

Non nel modo in cui può farlo un exchange centralizzato. Non c'è un account da sospendere né una coda di approvazione per i prelievi che trattiene il tuo saldo. Il caveat onesto è il precedente JELLY: i validator possono votare per delistare un mercato e liquidare forzatamente le posizioni aperte su di esso. Non è bloccare il tuo wallet, ma dimostra che il set di validator ha un potere reale su mercati specifici in momenti di crisi.

Il vault HLP è sicuro?

HLP è una strategia di market-making, non un conto di risparmio. Storicamente è stato redditizio, ma può e ha registrato perdite, e quelle perdite vengono socializzate tra tutti i depositanti. Non esiste un fondo assicurativo né un rendimento garantito. Prevede anche un lock-up sui depositi. Consideralo un'allocazione a rischio che puoi permetterti di vedere scendere, non un posto sicuro dove parcheggiare denaro.

Hyperliquid è più sicuro di un exchange centralizzato?

Sul fronte della custodia, sì. Tieni i tuoi fondi tu stesso, quindi il tipo di fallimento stile FTX — in cui l'exchange gioca coi depositi dei clienti — semplicemente non può accadere qui. Sul fronte del rischio da smart contract e bridge, un CEX non ha un'esposizione equivalente, quindi Hyperliquid porta rischi che un CEX non ha. Non è strettamente più sicuro né più rischioso. Scambia il rischio di controparte con il rischio di protocollo, e la scelta dipende da cosa ti fidi di più.

Hyperliquid è Sicuro? Una Valutazione Onesta dei Rischi - Learn

La Risposta Breve

Hyperliquid è non custodiale, ha gestito volumi enormi senza subire exploit su contratto, e i tuoi fondi sono controllati dal tuo wallet, non da un'azienda. Per gli standard del settore crypto, è un punto di partenza solido. Ma «sicuro» è la parola sbagliata per qualsiasi venue con leva finanziaria on-chain, e una risposta onesta sul piano della sicurezza deve nominare i rischi invece di sventolarli via.

I rischi reali, in ordine approssimativo di quanto devono preoccuparti:

Il bridge su Arbitrum: il contratto che detiene gli USDC depositati è il singolo honeypot più grande del sistema e il bersaglio più appetibile.
Concentrazione dei validator: il set di validator è contenuto e ha dimostrato di voler intervenire sui mercati, come ha provato l'episodio JELLY.
Rischio strutturale di mercato: i token con bassa liquidità possono essere manipolati per scaricare perdite sul vault HLP, ed è già accaduto più volte.
La tua stessa leva: il modo più comune in cui le persone perdono denaro qui è la liquidazione, non un qualche guasto del protocollo.

Nessuno di questi è da solo un dealbreaker. Insieme, descrivono una piattaforma legittima e collaudata a scala, ma abbastanza giovane da richiedere che tu calibri posizioni e depositi nell'ipotesi che qualcosa, prima o poi, possa rompersi. Il resto dell'articolo entra nel dettaglio di ciascun punto.

Chi Custodisce i Tuoi Fondi?

Il fatto di sicurezza più importante su Hyperliquid è che sei tu a custodire il tuo denaro. Non esiste un account Hyperliquid nel senso bancario del termine. Il tuo margine è USDC in una posizione controllata dal tuo wallet, e l'exchange non può spostarlo fuori dal tuo controllo. Questa è la differenza strutturale che rende impossibile il tipo di fallimento vissuto con FTX: nessun operatore trattiene i depositi dei clienti per prestarli, giocarli o perderli.

Fare trading su un order book ogni pochi secondi firmando ogni azione con un hardware wallet sarebbe impraticabile, quindi Hyperliquid usa un modello di agent wallet, a volte chiamato API wallet. Autorizzi una chiave separata che può piazzare e cancellare ordini per tuo conto. Il limite cruciale: un agent wallet può fare trading, ma non può prelevare. Anche se una chiave agent venisse compromessa, un attaccante potrebbe mal gestire le tue posizioni, ma non potrebbe portare i tuoi fondi fuori dalla piattaforma. I prelievi richiedono il tuo wallet principale.

Il Permesso di Trading Non è il Permesso di Prelievo

Questa separazione è l'eroe silenzioso del design. La chiave che usi continuamente per fare trading è deliberatamente quella meno pericolosa. La chiave che può davvero spostare i tuoi soldi è quella che usi raramente e puoi tenere in cold storage. Se devi ricordare una sola cosa sulla sicurezza di Hyperliquid, che sia questa.

Il collaterale è USDC, punto. Questo mantiene la contabilità semplice ed evita il rischio a cascata che si trova su piattaforme che ti permettono di usare asset volatili o illiquidi come margine. Il problema è che il tuo USDC deve prima arrivare sull'L1 di Hyperliquid, e lo fa attraverso un bridge. Ed è lì che si annida il rischio più interessante.

Validator e Rischio Bridge

Hyperliquid gira sul proprio L1, ma gli USDC che depositi passano attraverso un contratto bridge su Arbitrum. Quel contratto detiene il collaterale aggregato che sostiene l'intero sistema, il che lo rende il bersaglio ovvio da attaccare. I bridge sono stati la categoria peggiore nella storia della sicurezza crypto, responsabili di alcuni dei furti più grandi mai avvenuti, perché concentrano un valore enorme dietro codice che deve essere perfetto. Il bridge di Hyperliquid non è mai stato sfruttato. È anche il posto in cui, se qualcosa va davvero storto in modo catastrofico, va storto tutto in una volta.

Chi protegge quel bridge è fondamentale, ed è qui che si trova il vero trade-off da valutare onestamente. I prelievi dal bridge sono condizionati alle firme dei validator, quindi la sicurezza dei fondi dipende dall'integrità del set di validator. Hyperliquid ha lanciato con un set di soli quattro validator — allarmantemente centralizzato per qualcosa che custodisce così tanto denaro: colludere o compromettere una manciata di chiavi potrebbe in teoria svuotare il bridge. Il set si è da allora espanso a circa una ventina di validator, un miglioramento reale e significativo.

Decentralizzato come Direzione, Non Ancora come Fatto

Una ventina di validator è molto meglio di quattro, ma non sono le centinaia o migliaia che proteggono un L1 maturo. Il set non è nemmeno così permissionless o geograficamente distribuito come le chain più decentralizzate. La traiettoria è quella giusta, e il team è stato chiaro sul volerla ampliare, ma se stai valutando questo dal punto di vista della sicurezza oggi, tratta la concentrazione dei validator come un rischio aperto reale, non un problema risolto.

C'è una seconda dimensione, più sottile, di un set di validator contenuto: può agire. Una manciata di validator può coordinarsi abbastanza rapidamente da intervenire su un mercato sotto stress. Questo suona come una funzionalità quando evita che un vault salti, ed è esattamente quello che è successo con JELLY. È anche un rischio di centralizzazione travestito da giubbotto di sicurezza, perché la stessa capacità che salva il vault è la capacità di ribaltare un esito di mercato con un voto. Tieni entrambe le idee insieme.

Cosa è Andato Davvero Storto

Una valutazione della sicurezza che salta gli incidenti è marketing. Ecco cosa è successo realmente, qual è stata la risposta e cosa è cambiato dopo. Da notare: nessuno di questi è stato un exploit su contratto. Sono stati attacchi strutturali al mercato e sondaggi.

La manipolazione su JELLY (marzo 2025)

Un trader ha aperto uno short molto grande su JELLY, un token con scarsa liquidità, poi ha comprato il sottostante spot per far salire il prezzo e portare lo short in forte rosso. Poiché la posizione era enorme rispetto alla liquidità del token, la perdita risultante rischiava di ricadere sul vault HLP, che si trova dall'altra parte delle liquidazioni. I validator hanno votato per delistare JELLY e liquidare le posizioni aperte a un prezzo scelto, limitando la perdita del protocollo a circa 4 milioni di dollari. L'intervento ha funzionato nel senso stretto: HLP ha evitato un colpo molto più grande. Ha anche attirato critiche aspre e legittime, perché un voto dei validator che riscrive un risultato di mercato è esattamente il tipo di potere discrezionale che la decentralizzazione dovrebbe eliminare. Dopo l'episodio, Hyperliquid ha stretto i limiti di posizione e i parametri di rischio sui mercati più piccoli per rendere questo tipo di squeeze più difficile.

L'evento di liquidazione su POPCAT (novembre 2025)

Più avanti nel 2025, una cascata di liquidazioni su POPCAT ha di nuovo messo sotto pressione il vault HLP attraverso un mercato sottile e volatile. La meccanica riecheggiava JELLY: rischio concentrato in un token il cui order book era troppo poco profondo per assorbirlo. L'episodio ha ribadito la lezione che il tallone d'Achille non è negli smart contract ma nella lunga coda di listing a bassa liquidità, e ha spinto ulteriore attenzione sui controlli del rischio per singolo mercato e su quanto aggressivamente il vault debba esporsi a quei mercati.

Il sondaggio di Lazarus (dicembre 2024)

Nel dicembre 2024, ricercatori di sicurezza hanno segnalato attività on-chain riconducibile al Gruppo Lazarus nordcoreano che testava Hyperliquid: trading da indirizzi collegati a furti precedenti sponsorizzati da stati, ampiamente letto come ricognizione piuttosto che attacco in corso. Nessun fondo è andato perso. È un promemoria del fatto che un protocollo che detiene così tanto valore è permanentemente nel mirino degli avversari più capaci al mondo, e che il bridge è ciò che starebbero studiando.

Leggili Come un Pattern, Non Come Incidenti Isolati

Il filo conduttore è consistente: i contratti di Hyperliquid hanno retto, ma il modello di rischio sui mercati sottili è stato messo alla prova ripetutamente e a volte ha richiesto un intervento umano per essere contenuto. È genuinamente rassicurante su un asse e genuinamente preoccupante sull'altro. Il protocollo non ha perso fondi utente per un bug. Ma non ha ancora affrontato una crisi risolta puramente tramite codice e parametri, senza una decisione dei validator.

Rischio Vault e HLP

HLP, il vault Hyperliquid Liquidity Provider, viene spesso discusso come se fosse un prodotto a rendimento. Non lo è. HLP è una strategia di market-making e liquidazione finanziata dalla community. Quando depositi, il tuo USDC viene messo a lavoro prendendo il lato opposto delle operazioni e assorbendo le liquidazioni, e partecipi a ciò che quella strategia guadagna o perde. La parola che conta è «perde».

Le Perdite di HLP Sono Socializzate e Non Assicurate

Quando il vault subisce un colpo — come è quasi successo con JELLY ed è stato sotto pressione con POPCAT — quella perdita si distribuisce tra tutti i depositanti in proporzione alla loro quota. Non esiste un fondo assicurativo a copertura del tuo deposito né un rendimento garantito. Un evento abbastanza grave riduce il valore della posizione di tutti in una volta sola. Questo è il contratto esplicito, non la stampa fine.

HLP è stato redditizio nella maggior parte della sua storia, il che è esattamente il motivo per cui è facile scambiarlo per un conto di risparmio. Resistici. Due punti pratici: i depositi sono soggetti a un lock-up, quindi non puoi necessariamente uscire nel momento in cui ti spaventi, e i rendimenti dipendono dalle condizioni di trading, non da un tasso fisso che qualcuno ti ha promesso. Se allochi fondi a HLP, considera quella cifra come capitale a rischio che potresti vedere calare, non come l'angolo sicuro del tuo portafoglio.

Come Fare Trading su Hyperliquid in Modo Sicuro

La maggior parte di chi perde denaro su Hyperliquid non è vittima di un hack. Viene liquidata, oppure ha depositato in qualcosa che non capiva. I rischi controllabili sono quelli su cui vale la pena concentrarsi, perché sono quelli che svuotano davvero i conti.

Sfrutta il modello dell'agent wallet: tieni la chiave che può prelevare in cold storage e fai trading tramite un agent wallet autorizzato. La chiave di trading non dovrebbe mai essere la chiave che può spostare i tuoi fondi fuori dalla piattaforma.
Dimensiona le posizioni in modo da resistere all'errore: decidi quant'è la perdita massima accettabile su un'operazione prima di aprirla, e lascia che questo determini la dimensione. La matematica della leva è implacabile, e una posizione che non riesci a guardare senza ansia è una posizione troppo grande.
Non usare la leva massima: la leva alta comprime lo spazio di prezzo necessario per liquidarti quasi a zero. Una candela normale su un token volatile può azzerare una posizione con leva stretta. Meno leva non è timidezza — è il modo per restare nel gioco.
Attenzione ai mercati sottili: i listing a small-cap e bassa liquidità sono l'origine di ogni evento di stress. Spread più ampi e order book poco profondi significano che la tua liquidazione può chiudersi a un prezzo brutto. Fai trading sui mercati profondi a meno che tu non sappia esattamente cosa stai facendo nella coda lunga.
Tratta i depositi nei vault come capitale a rischio: se metti fondi in HLP o in qualsiasi vault, comprendi prima il lock-up e il modello di perdita socializzata, e impegna solo denaro che puoi permetterti di vedere scendere.
Verifica il frontend che stai usando: il protocollo può essere non custodiale e l'interfaccia essere comunque un clone di phishing. Controlla l'URL, mettilo tra i preferiti e sii sospettoso di qualsiasi sito o DM che ti chiede di approvare una firma insolita.

Fai Trading su Hyperliquid con Dexly, la Sicurezza Prima di Tutto

Dexly fa trading su Hyperliquid tramite lo stesso modello non custodiale con agent wallet descritto sopra, quindi la chiave che sposta i tuoi fondi resta separata da quella che piazza gli ordini. Scarica l'app dalla pagina di download di Dexly e fai trading con le impostazioni di sicurezza già attive.

Quindi, è Sicuro?

Hyperliquid è una delle cose più credibili nel mondo DeFi. Il modello di custodia è genuinamente buono, i contratti hanno retto sotto volumi reali e al sondaggio del gruppo più pericoloso dello spazio, e il team ha risposto agli incidenti rafforzando il sistema invece di tappare i buchi con comunicati stampa. Se il tuo standard per «sicuro» è «non custodiale e non una truffa», lo supera facilmente.

Se il tuo standard è «nulla può andare storto», nulla lo supera, e Hyperliquid meno di tutti finge di farlo. Il bridge è un bersaglio permanente, il set di validator sta migliorando ma rimane concentrato, il vault può perdere denaro e passarti quella perdita, e un protocollo giovane che custodisce miliardi continuerà a essere messo alla prova. JELLY ha mostrato allo stesso tempo il punto di forza e il disagio del modello in un singolo evento: un vault è stato salvato, e per farlo è stato necessario un voto dei validator.

La conclusione matura non è un sì né un no. È: legittimo, ben costruito e vale la pena usarlo, a patto che tu faccia trading con le tue chiavi in testa, tenga la leva ragionevole, stia fuori dai mercati sottili che non conosci, e non depositi mai in un vault più di quanto potresti guardare calare. Fai così, e sei esposto al rischio residuo di protocollo che accompagna qualsiasi sistema frontier — un compromesso equo in cambio di non dover fidare i tuoi soldi a un exchange. Fingi che i rischi non esistano, e Hyperliquid te li insegnerà nel modo più costoso.

Hyperliquid è Sicuro? Una Valutazione Onesta dei Rischi