Пользователь HyperSwap потерял примерно $12 300 29 июня после того, как нажал на фейковую ссылку на дроп на X и одобрил запрос к кошельку, который дал мошеннику контроль над его средствами. Атака, восстановленная BeInCrypto по общедоступным записям блокчейна, произошла в 20:21:51 UTC и продолжалась 84 секунды — от перевода NFT до завершения кроссчейн-моста. Мошенник перевёл ликвидити-позицию жертвы в HyperSwap, представленную NFT #178549, снял примерно 3 935 USDC и 116,6 WHYPE, конвертировал средства в 175,9 HYPE и перевёл активы в Ethereum. Фишинговая операция использовала фейковый аккаунт в X, выдававший себя за официальный аккаунт HyperSwap, чтобы обманом заставить пользователя выдать разрешения на передачу активов. Анализ BeInCrypto выявил адрес кошелька мошенника 0x880C95246D7525b84902E6c040818a7C72d3Aa77, помеченный HashDit как Fake_Phishing3746335; он был активен 33 дня и был связан примерно с 25 другими адресами, что указывает на потенциально множественных жертв.
Жертва использовала HyperSwap — децентрализованную биржу, работающую в блокчейне Hyperliquid и позволяющую торговать напрямую из своих кошельков. Жертва внесла средства в пул ликвидности HyperSwap, при этом позиция, представленная NFT #178549, выступала как цифровой чек, контролирующий связанные средства.
Жертва рассказала BeInCrypto, что увидела пост на X, продвигающий аирдроп. Пост выглядел так, будто он опубликован HyperSwap, но исходил от аккаунта-имитатора с ником, очень похожим на реальный аккаунт HyperSwap — HyperSwapX, который связан со страницы официального сайта проекта. Жертва перешла по ссылке и подключила свой кошелёк, полагая, что проверяет право на аирдроп. Однако он одобрил транзакцию, предоставив мошеннику разрешение переместить его позицию в HyperSwap.
В 20:21:51 UTC 29 июня мошенник использовал более раннее одобрение, чтобы перевести NFT #178549 из кошелька жертвы без необходимости в дополнительной подписи в этот момент. Адрес мошенника, 0x880C95246D7525b84902E6c040818a7C72d3Aa77, был помечен в записях HyperEVM explorer как Fake_Phishing3746335 с тегом «Phish / Hack», сообщённым HashDit.
NFT был перемещён на другой кошелёк, контролируемый мошенником. Через 25 секунд мошенник вывел средства за NFT — оно содержало примерно 3 935 USDC и 116,6 WHYPE, стоимостью около $12 300 на тот момент.
После вывода средств кошелёк мошенника выдал разрешение LI.FI — кроссчейн-мосту и сервису свопов. BeInCrypto не нашло доказательств того, что LI.FI участвовал в краже. Мошенник конвертировал украденные USDC и WHYPE примерно в 175,9 HYPE, а затем перевёл HYPE через мост с HyperEVM в Ethereum за несколько секунд.
Получателем стал кошелёк Ethereum 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. В Ethereum этот кошелёк получил средства и отправил дальше 7,035 ETH одним транзакционным действием. Кошелёк был создан незадолго до этого, использовался один раз и остался почти пустым. От передачи NFT до транзакции моста активная кража заняла примерно 84 секунды.
Записи обозревателя, просмотренные BeInCrypto, показали, что адрес мошенника был активен примерно 33 дня и был связан примерно с 25 другими адресами. Фейковая ссылка на ресурс присутствовала в сообщениях с 26 июня — согласно записям блокчейна.
Жертва попыталась пожаловаться на подозрительную ссылку и добиться её удаления. Во время разговора с BeInCrypto жертва заявила, что пробовала разные способы предупредить команду Hyperliquid о мошенничестве через GitHub, но ответа не получила. По словам жертвы, единственным активным каналом связи с HyperSwap был Discord, однако ссылка на него на момент написания была недействительной. Попытка связаться с командой экосистемы Hyperliquid не увенчалась успехом: команда просила пользователя напрямую обратиться в HyperSwap.
Жертва предположила, что сотрудники HyperSwap могут быть вовлечены в кражу или намеренно скрывают её. BeInCrypto не смогло найти точной информации, подтверждающей эти утверждения.
Что произошло в фишинговой атаке на HyperSwap 29 июня?
Пользователь HyperSwap потерял примерно $12 300 после того, как нажал на фейковую ссылку на аирдроп на X и одобрил запрос к кошельку. Мошенник перевёл NFT #178549, представляющий ликвидити-позицию жертвы, в 20:21:51 UTC 29 июня, вывел примерно 3 935 USDC и 116,6 WHYPE, конвертировал средства в 175,9 HYPE и перебросил активы в Ethereum за 84 секунды.
Как мошенник получил контроль над средствами жертвы?
Мошенник использовал фейковый аккаунт в X, выдававший себя за официальный аккаунт HyperSwap, чтобы продвигать мошеннический аирдроп. Когда жертва подключила кошелёк и одобрила то, что выглядело как проверка права на аирдроп, он предоставил мошеннику разрешение на передачу NFT #178549, который контролировал его ликвидити-позицию в HyperSwap на сумму примерно $12 300.
Какой адрес кошелька использовался в фишинговой атаке на HyperSwap?
Мошенник использовал адрес кошелька 0x880C95246D7525b84902E6c040818a7C72d3Aa77, который в записях обозревателя HyperEVM был помечен как Fake_Phishing3746335 с тегом «Phish / Hack», указанным HashDit. Записи обозревателя, просмотренные BeInCrypto, показали, что этот адрес был активен примерно 33 дня и был связан примерно с 25 другими адресами.
Связанные новости
Gate Records $207M чистый отток средств после заявления о краже аккаунта пользователя — Получить
Аккаунты SpaceXAI и Starlink взломали для продвижения мошенничества $125K SCATMAN
Bonzo Lend теряет $9M из-за атаки через уязвимость в оракуле, фальшивый SAUCE обвалил цену и опустошил протокол
Аккаунты SpaceXAI и Starlink X, возможно, были взломаны: после ретвита Meme-коина мошенники похитили средства и скрылись