Новости криптомира

05.07.2026
04:40

Фишинговая атака на HyperSwap: как мошенники украли $12 000 через поддельный аккаунт

Экосистема Hyperliquid, несмотря на свою технологическую привлекательность, демонстрирует тревожную уязвимость в вопросах безопасности пользователей. Недавний инцидент, в результате которого один из держателей активов потерял около $12 000 на децентрализованной бирже HyperSwap (работающей на слое HyperEVM), вскрыл классическую, но от этого не менее опасную схему фишинга. Пострадавший стал жертвой мошеннической ссылки, размещенной в социальной сети X.

Анатомия атаки: от подмены до кражи

Мошенники действовали по отработанному сценарию. Они создали аккаунт-двойник официальной страницы HyperSwap, изменив название всего на пару символов. Именно с этого фейкового профиля и была опубликована ссылка, якобы ведущая на раздачу бесплатных токенов (airdrop). Пользователь, не заметив подмены, перешел по ней и попал на сайт-клон, визуально неотличимый от настоящего.

Кульминация наступила, когда жертва подключила свой кошелек и подтвердила транзакцию, полагая, что участвует в легитимной проверке права на получение бесплатных монет. На деле этим действием он предоставил злоумышленникам разрешение (approve) на управление своим вложением в пуле ликвидности. Внешне это подтверждение ничем не отличалось от стандартных операций на реальных сервисах, что и позволило атаке остаться незамеченной до самого момента списания средств.

Молниеносная кража и заметание следов

Активная фаза кражи уложилась в две минуты — с 20:21 до 20:23 UTC 29 июня 2026 года. Сначала мошеннический адрес, помеченный сервисом безопасности HashDit как Fake_Phishing3746335, воспользовался ранее полученным доступом и перевел NFT, подтверждающий право на вклад жертвы, на свой кошелек. Важно подчеркнуть: эту операцию инициировал и оплатил сам злоумышленник — жертва в этот момент ничего не подписывала. В этом и заключается коварство «дрейнера» (drainer): доступ выманивается заранее, а списание происходит позже, без ведома владельца.

Затем хакер извлек из украденного NFT активы: около 3935 USDC и 116 WHYPE, что в сумме составляет примерно $12 100. Используя легальный сервис кросс-чейн мостов LI.FI, он конвертировал все в HYPE и вывел порядка $12 300 из сети HyperEVM в сеть Ethereum. Использование легитимного инструмента для перевода средств между сетями — изощренный ход, который усложняет отслеживание и создает у пострадавшего ложное впечатление, будто в краже замешана сама биржа или сервис-мост.

Реакция проекта и системная проблема

Обнаружив пропажу, пользователь попытался связаться с командой проекта, чтобы заблокировать или удалить мошенническую ссылку, которая висела в комментариях с 26 июня. Однако реакции не последовало. По словам пострадавшего, единственным активным каналом связи с HyperSwap был Discord, но на момент написания материала ссылка на него оказалась недействительной. Попытки донести информацию до команды Hyperliquid также не увенчались успехом — в ответ он получил рекомендацию самостоятельно обращаться к разработчикам HyperSwap.

Этот инцидент — не единичный случай, а часть системной проблемы. Данные обозревателя показывают, что мошеннический адрес был активен около месяца и связан примерно с 25 различными кошельками, что указывает на отлаженную, поставленную на поток схему. Сам пострадавший высказал предположение, что сотрудники HyperSwap могут быть причастны к краже или намеренно ее скрывают.

Мнение эксперта. Данный кейс — яркий пример того, как технологическая децентрализация без должного внимания к безопасности пользовательского опыта превращается в «слепую зону». Ответственность за защиту активов в DeFi по-прежнему лежит на самом пользователе. Однако проекты экосистемы, особенно такие заметные, как Hyperliquid, должны активнее внедрять механизмы превентивной защиты и реагирования на инциденты. Игнорирование сообщений об уязвимостях — это прямая дорога к потере доверия и репутационным издержкам, которые могут оказаться гораздо выше суммы разовой кражи.