Usuário do HyperSwap perde US$ 12.300 em ataque de phishing de airdrop falso de 84 segundos

HYPE1,15%
ETH5,31%

Um usuário da HyperSwap perdeu aproximadamente US$ 12.300 em 29 de junho após clicar em um link falso de airdrop no X e aprovar uma solicitação de carteira que deu ao criminoso acesso aos fundos. O ataque, reconstituído pela BeInCrypto usando registros públicos da blockchain, ocorreu às 20:21:51 UTC e durou 84 segundos, do envio do NFT à conclusão da ponte cross-chain. O golpista transferiu a posição de liquidez do usuário na HyperSwap, representada pelo NFT #178549, sacou aproximadamente 3.935 USDC e 116,6 WHYPE, converteu os fundos para 175,9 HYPE e moveu os ativos para a Ethereum. A operação de phishing explorou uma conta falsa no X que se passava pelo perfil oficial da HyperSwap para enganar o usuário a conceder permissões de transferência de ativos. A análise da BeInCrypto identificou o endereço da carteira do golpista 0x880C95246D7525b84902E6c040818a7C72d3Aa77, sinalizado pela HashDit como Fake_Phishing3746335, que estava ativo há 33 dias e ligado a cerca de 25 outros endereços, sugerindo múltiplas vítimas em potencial.

Golpista criou conta falsa no X promovendo airdrop

A vítima usou a HyperSwap, uma exchange descentralizada executada na blockchain Hyperliquid que permite negociações diretas a partir de suas carteiras. A vítima havia fornecido fundos a um pool de liquidez da HyperSwap, com a posição representada pelo NFT #178549, que funciona como um recibo digital controlando os fundos vinculados.

A vítima afirmou à BeInCrypto que viu uma postagem no X promovendo um airdrop. A postagem parecia vir da HyperSwap, mas foi originada por uma conta impostora com um @ semelhante ao da conta real da HyperSwap, a HyperSwapX, que está vinculada no site oficial do projeto. A vítima seguiu o link e conectou a carteira, acreditando estar verificando sua elegibilidade para o airdrop. Em seguida, aprovou uma transação que concedeu ao golpista permissão para mover sua posição na HyperSwap.

Wallet Approval Transferred NFT #178549 Controle

Às 20:21:51 UTC em 29 de junho, o golpista usou a aprovação anterior para transferir o NFT #178549 para fora da carteira da vítima sem exigir assinatura adicional naquele momento. O endereço do golpista, 0x880C95246D7525b84902E6c040818a7C72d3Aa77, foi sinalizado nos registros do explorador HyperEVM como Fake_Phishing3746335, com uma tag “Phish / Hack” reportada pela HashDit.

O NFT foi enviado para outra carteira controlada pelo golpista. Vinte e cinco segundos depois, o golpista sacou os fundos por trás do NFT, que continha aproximadamente 3.935 USDC e 116,6 WHYPE, no valor de cerca de US$ 12.300 na época.

Fundos roubados convertidos e encaminhados em 84 segundos

Após sacar os fundos, a carteira do golpista forneceu permissão à LI.FI, uma ponte cross-chain e serviço de swap. A BeInCrypto não encontrou evidências de participação da LI.FI no roubo. O golpista converteu o USDC e o WHYPE roubados em aproximadamente 175,9 HYPE e, em seguida, fez a ponte do HYPE de HyperEVM para Ethereum segundos depois.

O destino foi a carteira Ethereum 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. Na Ethereum, essa carteira recebeu os fundos e moveu 7,035 ETH em uma única transação. A carteira foi criada pouco antes, usada uma vez e ficou quase vazia. Desde a transferência do NFT até a transação na ponte, o roubo ativo levou aproximadamente 84 segundos.

Carteira do golpista ligada a 25 endereços em 33 dias

Registros de exploradores analisados pela BeInCrypto mostraram que o endereço do golpista esteve ativo por aproximadamente 33 dias e foi vinculado a cerca de 25 outros endereços. O link do recurso fraudulento estava presente em mensagens desde 26 de junho, de acordo com registros da blockchain.

Vítima reportou o golpe via GitHub e Discord sem resposta

A vítima tentou reportar o link suspeito e solicitar sua remoção. Durante uma conversa com a BeInCrypto, afirmou que tentou várias formas de alertar a equipe da Hyperliquid sobre o golpe via GitHub, mas não obteve resposta. Segundo ela, o único canal de comunicação ativo com a HyperSwap era o Discord, mas o link para ele era inválido no momento da escrita. A tentativa de contato com a equipe do ecossistema Hyperliquid não teve sucesso, sendo orientada a procurar a HyperSwap diretamente.

A vítima sugeriu que funcionários da HyperSwap podem estar envolvidos no roubo ou que estão deliberadamente escondendo informações. A BeInCrypto não conseguiu encontrar evidências concretas para apoiar essas alegações.

FAQ

O que aconteceu no ataque de phishing da HyperSwap em 29 de junho?
Um usuário da HyperSwap perdeu aproximadamente US$ 12.300 após clicar em um link falso de airdrop no X e aprovar uma solicitação de carteira. O golpista transferiu o NFT #178549, que representava a posição de liquidez da vítima, às 20:21:51 UTC em 29 de junho, sacou aproximadamente 3.935 USDC e 116,6 WHYPE, converteu os fundos para 175,9 HYPE e fez a ponte dos ativos para Ethereum em 84 segundos.

Como o golpista ganhou controle dos fundos da vítima?
O golpista usou uma conta falsa no X que se passava pelo perfil oficial da HyperSwap para promover um airdrop fraudulento. Quando a vítima conectou a carteira e aprovou a verificação de elegibilidade, concedeu permissão ao golpista para transferir o NFT #178549, controlando a posição de liquidez dele, avaliada em cerca de US$ 12.300.

Qual endereço de carteira foi usado no ataque de phishing da HyperSwap?
O golpista utilizou o endereço 0x880C95246D7525b84902E6c040818a7C72d3Aa77, sinalizado pelo explorador HyperEVM como Fake_Phishing3746335, com uma tag “Phish / Hack” reportada pela HashDit. Registros indicam que esse endereço esteve ativo por cerca de 33 dias e foi ligado a aproximadamente 25 outros endereços.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários