Новости криптомира

05.07.2026
14:26

Фишинговая атака на Hyperliquid: похищено $12 000 через поддельный аккаунт в X

Пользователь децентрализованной биржи HyperSwap, работающей на блокчейне HyperEVM, потерял около $12 000 в результате изощренной фишинговой атаки. Инцидент произошел из-за мошеннической ссылки, опубликованной в социальной сети X (Twitter). В ходе анализа транзакций в блокчейн-обозревателе была восстановлена полная картина атаки, которая представляет собой классический пример социальной инженерии с использованием "дрейнера" (drainer).

Как это произошло

Пострадавший держал активы в пуле ликвидности HyperSwap. Право на долю в пуле подтверждается уникальным NFT. Внимание жертвы привлек пост в официальном аккаунте HyperSwap на X, который обещал бесплатный "эирдроп" (airdrop). Перейдя по ссылке, пользователь попал на сайт, внешне неотличимый от настоящего, но на самом деле это был фишинговый клон.

Ключевой деталью стало то, что пост был опубликован не с официального аккаунта биржи, а с его поддельного дубликата. Название аккаунта-двойника отличалось от настоящего всего на пару букв, что легко ускользает от внимания при беглом просмотре. Злоумышленники создали убедительную копию страницы, и пользователь, не заметив подмены, принял фальшивку за чистую монету.

Механизм кражи: "дрейнер" в действии

На поддельном сайте жертва подключила свой кошелек и подтвердила операцию, думая, что просто проверяет право на получение бесплатных токенов. На самом деле этим действием она выдала мошеннику разрешение на управление своим вложением — NFT, подтверждающим долю в пуле. Внешне такой запрос на подтверждение ничем не отличается от обычных операций на легитимных сервисах, поэтому обман остается незамеченным до момента списания средств.

Активная фаза кражи заняла менее двух минут — с 20:21 до 20:23 UTC 29 июня 2026 года. Сначала мошеннический адрес, помеченный сервисом безопасности HashDit как Fake_Phishing3746335, воспользовавшись ранее полученным доступом, перевел NFT с вложением жертвы на свой кошелек. Важно отметить: эту транзакцию инициировал и оплатил сам злоумышленник. Жертва в этот момент ничего не подписывала. В этом и заключается суть "дрейнера": доступ выманивают заранее, а списание совершают позже, без участия владельца.

Затем мошенник вывел из NFT вложенные средства: около 3935 USDC и 116 WHYPE, что в сумме составило порядка $12 100. Используя легальный сервис обмена и переводов LI.FI, он конвертировал все украденное в единый токен HYPE и отправил около $12 300 из сети HyperEVM в сеть Ethereum.

Как заметали следы

В сети Ethereum средства поступили на адрес, созданный незадолго до этого. Он был использован всего один раз: получил средства, почти сразу же вывел их дальше одной операцией и остался практически пустым. Такой одноразовый "перевалочный" кошелек — типичный элемент цепочки вывода похищенного. Примечательно, что для вывода злоумышленник использовал обычный, легальный сервис межсетевых переводов, а не какой-то "хакерский" инструмент. Это усложняет отслеживание и создает у пострадавшего ложное впечатление, будто виноват сам сервис или биржа.

Анализ показывает, что мошеннический адрес был активен около месяца и связан примерно с 25 различными кошельками. Это указывает на отлаженную, поставленную на поток схему, а не на случайный инцидент.

Реакция проекта и уроки

Обнаружив пропажу, пользователь пытался связаться с командой HyperSwap и Hyperliquid, чтобы подозрительную ссылку удалили, но реакции не последовало. Пострадавший предполагает, что сотрудники HyperSwap могут быть причастны к краже или намеренно ее скрывают. Единственным активным каналом связи с HyperSwap был Discord, который на момент написания статьи оказался недействительным.

Мнение эксперта: Этот инцидент — яркое напоминание о том, что в мире DeFi безопасность пользователя на 99% зависит от его собственной бдительности. Никакой аудит смарт-контрактов не защитит от фишинговой ссылки в соцсетях. Ключевые правила: никогда не переходить по ссылкам на биржи из постов, всегда проверять название аккаунта побуквенно и, самое главное, никогда не подписывать в кошельке операции, смысл которых не до конца понятен. Регулярная проверка и отзыв выданных разрешений через проверенные сервисы должны стать обязательной рутиной для каждого, кто работает с DeFi.