Новости

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

Случай с кражей средств на HyperSwap снова показал, почему безопасность Hyperliquid остается болезненной темой для пользователей экосистемы: один переход по фишинговой ссылке в X закончился потерей примерно $12 000, а сам вывод активов занял меньше двух минут.

В редакцию BeInCrypto обратился инвестор, который держал средства на децентрализованной бирже HyperSwap в сети HyperEVM. По его словам, он перешел по ссылке из соцсети X, подключил кошелек к сайту с обещанием аирдропа и в итоге выдал мошенникам доступ к своей позиции.

По данным Blockchain-обозревателя, схема выглядела как классический дрейнер: сначала у пользователя выманили разрешение, а позже злоумышленник сам запустил транзакции и забрал активы без новых подтверждений со стороны владельца кошелька.

Как пользователь попал на фишинговый сайт

Пострадавший размещал активы на HyperSwap. На этой площадке пользователь вносит монеты в общий пул ликвидности и получает доход, а его доля подтверждается NFT с уникальным номером. Для владельца такой NFT был не просто токеном, а Asset, который давал право на вложенные средства.

В X он увидел публикацию со ссылкой на страницу, где якобы можно было проверить право на бесплатные монеты. Сайт оказался подделкой, а за формой подключения кошелька скрывался дрейнер — инструмент, который помогает мошенникам забирать средства после получения нужных разрешений.

HyperSwap работает на блокчейне Hyperliquid, точнее на его слое HyperEVM. При этом у HyperSwap отдельная команда: Hyperliquid не управляет этой биржей напрямую, так же как Ethereum не контролирует приложения, которые запускаются поверх его сети, например Uniswap.

Аккаунт-двойник выглядел почти как настоящий

Ключевой трюк был в подмене. Ссылку разместил не официальный аккаунт HyperSwap, а фейковая страница с очень похожим названием. Разница сводилась к нескольким символам, поэтому ее легко пропустить при беглом просмотре ленты.

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

Мошенники часто рассчитывают именно на такой сценарий: аккаунт-двойник и сайт-клон выглядят достаточно убедительно, а одна невнимательная подпись в кошельке может стоить пользователю всех средств.

На поддельном сайте пострадавший подключил кошелек и подтвердил операцию, думая, что проверяет участие в аирдропе. На практике это действие дало злоумышленнику право распоряжаться его вложением. Внешне подобные запросы могут напоминать обычные операции на легитимных сервисах, поэтому подвох часто становится очевиден только после списания.

Важно не путать этот эпизод с рыночными механизмами: он не был связан с Market liquidity, Oracle, Regulation или Liquidation. Это пользовательский Risk и типичная Vulnerability (computer security), когда владелец кошелька сам, не понимая последствий, выдает опасное разрешение.

Кража заняла меньше двух минут

Активная фаза атаки прошла 29 июня 2026 года между 20:21 и 20:23 по UTC. Обозреватель hyperevmscan пометил адрес злоумышленника как Fake_Phishing3746335 по сигналу сервиса безопасности HashDit.

Сначала этот адрес использовал ранее полученный доступ и перевел NFT с позицией пользователя на свой кошелек. Важная деталь: транзакцию запустил сам мошенник и он же оплатил комиссию. В момент кражи жертва уже ничего не подписывала.

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

После этого злоумышленник вывел из NFT вложенные монеты: около 3935 USDC и 116 WHYPE. Общая сумма потерь составила примерно $12 100. Затем через легальный сервис обмена и переводов украденные средства были сведены в HYPE, после чего около $12 300 отправили из HyperEVM в сеть Ethereum.

Как злоумышленник скрывал следы

В Ethereum деньги пришли на адрес, созданный незадолго до перевода. Он был использован фактически один раз: получил средства, почти сразу отправил их дальше одной транзакцией и остался почти пустым. Такой одноразовый транзитный кошелек часто встречается в цепочках вывода похищенных активов.

Дополнительную путаницу создает то, что мошенник не использовал какой-то очевидно криминальный инструмент. Для перемещения средств он задействовал обычный легальный сервис межсетевых переводов. Из-за этого пострадавшему может показаться, что проблема в сервисе или бирже, хотя сама кража началась с фишингового разрешения.

По данным обозревателя, мошеннический адрес был активен около месяца и связан примерно с 25 разными кошельками. Это больше похоже на налаженную схему, чем на единичный случай.

Пострадавший пытался предупредить команды проектов

После пропажи средств пользователь попытался добиться удаления опасной ссылки. По его словам, ссылка на фишинговый ресурс продолжала оставаться в сообщениях.

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

Пострадавший утверждает, что пытался разными способами предупредить команду Hyperliquid о скаме, но реакции не получил. На одном из скриншотов видно, как он обращается в поддержку Hyperliquid через Discord с просьбой передать информацию о найденной угрозе, а в ответ ему предлагают самостоятельно связаться с HyperSwap.

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

По словам пользователя, единственным активным каналом связи с HyperSwap оставался Discord, но на момент подготовки материала ссылка на него уже не работала. Поэтому он пытался донести проблему через команду экосистемы, в которой работает проект, однако и это не помогло.

Безопасность Hyperliquid: как фишинговый дрейнер украл $12 000 у пользователя HyperSwap

Пострадавший также предположил, что сотрудники HyperSwap могут быть причастны к краже или намеренно скрывать происходящее. Подтверждений этой версии в предоставленных данных нет, но сам факт отсутствия понятной реакции на жалобы усилил его подозрения.

Как снизить риск фишинга в криптокошельке

  • Открывайте биржи и сервисы только по адресам из официальных источников: не переходите по ссылкам из постов, комментариев и личных сообщений в соцсетях.
  • Проверяйте название аккаунта побуквенно: мошенники часто создают копии страниц, которые отличаются от настоящих всего одной-двумя буквами.
  • Не подтверждайте операции в кошельке, если не понимаете их смысл: особенно осторожно относитесь к разрешениям на управление токенами, NFT и позициями в пулах.
  • Регулярно проверяйте выданные разрешения и отзывайте лишние: используйте надежные сервисы и вводите их адрес вручную.
  • При подозрении на взлом или фишинг сразу отзовите все разрешения и переведите активы: оставшиеся средства лучше отправить на новый адрес.

Главный вывод прост: дрейнеру не всегда нужно взламывать протокол. Иногда достаточно убедить пользователя подписать один опасный запрос, а затем спокойно вывести активы уже без его участия.

Добавить комментарий