Користувач HyperSwap втратив приблизно $12 300 29 червня після того, як перейшов за фейковим посиланням на аірдроп у X і схвалив запит до гаманця, що надав зловмиснику контроль над його коштами. Атака, відтворена BeInCrypto за відкритими записами в блокчейні, сталася о 20:21:51 UTC і тривала 84 секунди — від переказу NFT до завершення кросчейн-мосту. Зловмисник переказав ліквідність жертви в HyperSwap, представлену NFT #178549, зняв приблизно 3,935 USDC і 116,6 WHYPE, конвертував кошти в 175,9 HYPE та перевів активи на Ethereum. Фішингова операція використала фейковий обліковий запис у X, що видавав себе за офіційний акаунт HyperSwap, щоб змусити користувача надати дозволи на переказ активів. Аналіз BeInCrypto визначив адресу гаманця зловмисника 0x880C95246D7525b84902E6c040818a7C72d3Aa77, яку HashDit позначив як Fake_Phishing3746335. Вона працювала 33 дні та була пов’язана приблизно з 25 іншими адресами, що вказує на кількох потенційних жертв.
Жертва використала HyperSwap — децентралізований обмінник, що працює в блокчейні Hyperliquid і дозволяє користувачам торгувати безпосередньо зі своїх гаманців. Жертва надала кошти в пули ліквідності HyperSwap, а позиція, яку представляє NFT #178549, виконувала роль цифрового чека, що контролює прив’язані кошти.
Жертва розповіла BeInCrypto, що побачила допис у X, який просував аірдроп. Допис виглядав так, ніби його опублікував HyperSwap, але він походив від підставного акаунта з ніком, дуже схожим на реальний акаунт HyperSwap — HyperSwapX, що був пов’язаний з офіційного вебсайту проєкту. Жертва перейшла за посиланням і підключила гаманець, вважаючи, що перевіряє право на аірдроп. Натомість вона схвалила транзакцію, яка надала зловмиснику дозвіл перемістити її позицію в HyperSwap.
О 20:21:51 UTC 29 червня зловмисник використав попереднє схвалення, щоб переказати NFT #178549 з гаманця жертви без потреби в додатковому підписі саме в цей момент. Адресу зловмисника, 0x880C95246D7525b84902E6c040818a7C72d3Aa77, було позначено в записах HyperEVM explorer як Fake_Phishing3746335 з тегом "Phish / Hack", про що повідомив HashDit.
NFT було переміщено на інший гаманець, контрольований зловмисником. Через 25 секунд зловмисник зняв кошти, що стояли за NFT: вони містили приблизно 3,935 USDC і 116,6 WHYPE, вартістю близько $12 300 на той час.
Після зняття коштів гаманець зловмисника надав дозвіл LI.FI — кросчейн-бріджу та сервісу свопів. BeInCrypto не знайшов доказів того, що LI.FI брав участь у крадіжці. Зловмисник конвертував викрадені USDC і WHYPE приблизно в 175,9 HYPE, а потім перекинув HYPE з HyperEVM на Ethereum за секунди потому.
Отримувачем стала Ethereum-адреса гаманця 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. На Ethereum цей гаманець отримав кошти та в одній транзакції перекинув далі 7,035 ETH. Гаманець було створено незадовго до цього, використали один раз і залишили майже порожнім. Від переказу NFT до транзакції через міст активна крадіжка тривала приблизно 84 секунди.
Оглянуті BeInCrypto записи explorer показали, що адреса зловмисника була активною приблизно 33 дні та була пов’язана приблизно з 25 іншими адресами. Фальшиве ресурсне посилання було присутнє в повідомленнях із 26 червня, згідно з записами блокчейну.
Жертва спробувала повідомити про підозріле посилання та добитися його видалення. Під час розмови з BeInCrypto вона заявила, що пробувала різні способи попередити команду Hyperliquid про шахрайство через GitHub, але не отримала відповіді. За словами жертви, єдиним активним каналом зв’язку з HyperSwap був Discord, однак посилання на нього на момент написання було недійсним. Спроба зв’язатися з командою екосистеми Hyperliquid не увінчалася успіхом: команда запропонувала користувачу напряму звернутися до HyperSwap.
Жертва припустила, що співробітники HyperSwap можуть бути причетними до крадіжки або навмисно її приховують. BeInCrypto не вдалося знайти жодної точної інформації, яка б підтверджувала ці твердження.
Що сталося під час фішингової атаки на HyperSwap 29 червня?
Користувач HyperSwap втратив приблизно $12 300 після натискання фейкового посилання на аірдроп у X і схвалення запиту до гаманця. Зловмисник переказав NFT #178549, що відображає позицію ліквідності жертви станом на 20:21:51 UTC 29 червня, зняв приблизно 3,935 USDC і 116,6 WHYPE, конвертував кошти в 175,9 HYPE і за 84 секунди перекинув активи на Ethereum.
Як зловмиснику вдалося отримати контроль над коштами жертви?
Зловмисник використав фейковий акаунт у X, що видавав себе за офіційний акаунт HyperSwap, щоб просувати шахрайський аірдроп. Коли жертва підключила свій гаманець і схвалила те, що виглядало як перевірка права на аірдроп, він надав зловмиснику дозвіл переказати NFT #178549, який контролював її ліквідність у HyperSwap вартістю приблизно $12 300.
Яка адреса гаманця була використана у фішинговій атаці на HyperSwap?
Зловмисник використав адресу гаманця 0x880C95246D7525b84902E6c040818a7C72d3Aa77, яку в записах HyperEVM explorer позначили як Fake_Phishing3746335 з тегом "Phish / Hack", про що повідомив HashDit. Записи explorer, які переглянув BeInCrypto, показали, що ця адреса була активною приблизно 33 дні та була пов’язана приблизно з 25 іншими адресами.
Пов’язані новини
Gate Records $207M Відпливи з гаманців після крадіжки коштів користувачем: отримати підтвердження
Облікові записи SpaceXAI та Starlink зламані для просування шахрайства $125K SCATMAN
Bonzo Lend втрачає $9M через експлойт в Oracle через фальшивий ціновий , внаслідок чого ціна SAUCE зникає з протоколу
Облікові записи SpaceXAI та Starlink X, ймовірно, були зламані: після переказу Meme-коїнів зловмисники зникли з грошима